CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2019-20402
https://notcve.org/view.php?id=CVE-2019-20402
Support zip files in Atlassian Jira Server and Data Center before version 8.6.0 could be downloaded by a System Administrator user without requiring the user to re-enter their password via an improper authorization vulnerability. Los archivos zip de soporte en Atlassian Jira Server y Data Center antes de que la versión 8.6.0, pudieran ser descargados por un usuario del Administrador de Sistema sin requerir que el usuario reingrese su contraseña por medio de una vulnerabilidad de autorización inapropiada. • https://jira.atlassian.com/browse/JRASERVER-70564 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2019-20106
https://notcve.org/view.php?id=CVE-2019-20106
Comment properties in Atlassian Jira Server and Data Center before version 7.13.12, from 8.0.0 before version 8.5.4, and 8.6.0 before version 8.6.1 allows remote attackers to make comments on a ticket to which they do not have commenting permissions via a broken access control bug. Las propiedades de comentarios en Atlassian Jira Server y Data Center antes de la versión 7.13.12, desde versión 8.0.0 antes de la versión 8.5.4 y versión 8.6.0 antes de la versión 8.6.1, permiten a atacantes remotos hacer comentarios sobre un ticket para el que no tienen permisos de comentarios por medio de un bug de control de acceso roto. • https://jira.atlassian.com/browse/JRASERVER-70543 • CWE-276: Incorrect Default Permissions •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-15013
https://notcve.org/view.php?id=CVE-2019-15013
The WorkflowResource class removeStatus method in Jira before version 7.13.12, from version 8.0.0 before version 8.4.3, and from version 8.5.0 before version 8.5.2 allows authenticated remote attackers who do not have project administration access to remove a configured issue status from a project via a missing authorisation check. El método removeStatus de la clase WorkflowResource en Jira versiones anteriores a la versión 7.13.12, desde la versión 8.0.0 anteriores a la versión 8.4.3 y desde la versión 8.5.0 anteriores a la versión 8.5.2, permite a atacantes remotos autenticados que no tienen acceso de administración del proyecto eliminar un estado del problema configurado desde el proyecto por medio de una falta de comprobación de autorización. • https://jira.atlassian.com/browse/JRASERVER-70405 • CWE-862: Missing Authorization •
CVSS: 9.9EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16541 – jenkins-jira-plugin: plugin information disclosure
https://notcve.org/view.php?id=CVE-2019-16541
Jenkins JIRA Plugin 3.0.10 and earlier does not declare the correct (folder) scope for per-folder Jira site definitions, allowing users to select and use credentials with System scope. Jenkins JIRA Plugin versión 3.0.10 y anteriores, no declara el alcance (carpeta) correcto para las definiciones de sitio de Jira por carpeta, permitiendo a usuarios seleccionar y usar credenciales con alcance System. • http://www.openwall.com/lists/oss-security/2019/11/21/1 https://jenkins.io/security/advisory/2019-11-21/#SECURITY-1106 https://access.redhat.com/security/cve/CVE-2019-16541 https://bugzilla.redhat.com/show_bug.cgi?id=1819663 • CWE-522: Insufficiently Protected Credentials CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 4.3EPSS: 0%CPEs: 8EXPL: 0CVE-2019-15005
https://notcve.org/view.php?id=CVE-2019-15005
The Atlassian Troubleshooting and Support Tools plugin prior to version 1.17.2 allows an unprivileged user to initiate periodic log scans and send the results to a user-specified email address due to a missing authorization check. The email message may contain configuration information about the application that the plugin is installed into. A vulnerable version of the plugin is included with Bitbucket Server / Data Center before 6.6.0, Confluence Server / Data Center before 7.0.1, Jira Server / Data Center before 8.3.2, Crowd / Crowd Data Center before 3.6.0, Fisheye before 4.7.2, Crucible before 4.7.2, and Bamboo before 6.10.2. El plugin Atlassian Troubleshooting and Support anterior a versión 1.17.2, permite a un usuario sin privilegios iniciar escaneos de registros periódicos y enviar los resultados a una dirección de correo electrónico especificada por el usuario debido a una falta de comprobación de autorización. El mensaje de correo electrónico puede contener información de configuración sobre la aplicación en la que el plugin está instalado. • https://herolab.usd.de/security-advisories/usd-2019-0016 https://jira.atlassian.com/browse/BAM-20647 • CWE-862: Missing Authorization •