CVE-2019-11585
https://notcve.org/view.php?id=CVE-2019-11585
The startup.jsp resource in Jira before version 7.13.6, from version 8.0.0 before version 8.2.3, and from version 8.3.0 before version 8.3.2 allows remote attackers to redirect users to a different website which they may use as part of performing a phishing attack via an open redirect. El recurso startup.jsp en Jira antes de la versión 7.13.6, desde la versión 8.0.0 antes de la versión 8.2.3 y desde la versión 8.3.0 antes de la versión 8.3.2 permite a los atacantes remotos redirigir a los usuarios a un sitio web diferente que pueden usar como parte de realizar un ataque de phishing a través de una redirección abierta. • https://jira.atlassian.com/browse/JRASERVER-69784 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVE-2019-8448
https://notcve.org/view.php?id=CVE-2019-8448
The login.jsp resource in Jira before version 7.13.4, and from version 8.0.0 before version 8.2.2 allows remote attackers to enumerate usernames via an information disclosure vulnerability. El dispositivo login.jsp en Jira anterior de la versión 7.13.4 y desde la versión 8.0.0 anterior de la versión 8.2.2 permite a los atacantes remotos enumerar nombres de usuario a través de una vulnerabilidad de divulgación de información. • https://jira.atlassian.com/browse/JRASERVER-69797 •
CVE-2019-11581 – Atlassian Jira Server and Data Center Server-Side Template Injection Vulnerability
https://notcve.org/view.php?id=CVE-2019-11581
There was a server-side template injection vulnerability in Jira Server and Data Center, in the ContactAdministrators and the SendBulkMail actions. An attacker is able to remotely execute code on systems that run a vulnerable version of Jira Server or Data Center. All versions of Jira Server and Data Center from 4.4.0 before 7.6.14, from 7.7.0 before 7.13.5, from 8.0.0 before 8.0.3, from 8.1.0 before 8.1.2, and from 8.2.0 before 8.2.3 are affected by this vulnerability. Se presentó una vulnerabilidad de inyección de plantilla en el lado del servidor en Jira Server y Data Center, en las acciones ContactAdministrators y SendBulkMail. Un atacante puede ejecutar código remotamente sobre sistemas que ejecutan una versión vulnerable de Jira Server o Data Center. • https://github.com/jas502n/CVE-2019-11581 https://github.com/kobs0N/CVE-2019-11581 https://github.com/PetrusViet/CVE-2019-11581 https://jira.atlassian.com/browse/JRASERVER-69532 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVE-2019-8442
https://notcve.org/view.php?id=CVE-2019-8442
The CachingResourceDownloadRewriteRule class in Jira before version 7.13.4, and from version 8.0.0 before version 8.0.4, and from version 8.1.0 before version 8.1.1 allows remote attackers to access files in the Jira webroot under the META-INF directory via a lax path access check. CachingResourceDownloadRewriteRule class in Jira antes versión 7.13.4, y desde la versión 8.0.0 antes de la versión 8.0.4, y desde la versión 8.1.0 antes versión 8.1.1, permite a los atacantes remotos acceder a los archivos en el webroot de Jira bajo el directorio META-INF mediante una comprobación lax path. • http://www.securityfocus.com/bid/108460 https://jira.atlassian.com/browse/JRASERVER-69241 •
CVE-2019-3402
https://notcve.org/view.php?id=CVE-2019-3402
The ConfigurePortalPages.jspa resource in Jira before version 7.13.3 and from version 8.0.0 before version 8.1.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the searchOwnerUserName parameter. ConfigurePortalPages.jspa resource in Jira antes versión 7.13.3 y desde la versión 8.0.0 antes versión 8.1.1, permite a los atacantes remotos inyectar HTML o JavaScript arbitrarios mediante una vulnerabilidad de tipo cross-site scripting (XSS) en el parámetro searchOwnerUserName. • https://jira.atlassian.com/browse/JRASERVER-69243 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •