CVSS: 4.3EPSS: 0%CPEs: 8EXPL: 0CVE-2019-15005
https://notcve.org/view.php?id=CVE-2019-15005
The Atlassian Troubleshooting and Support Tools plugin prior to version 1.17.2 allows an unprivileged user to initiate periodic log scans and send the results to a user-specified email address due to a missing authorization check. The email message may contain configuration information about the application that the plugin is installed into. A vulnerable version of the plugin is included with Bitbucket Server / Data Center before 6.6.0, Confluence Server / Data Center before 7.0.1, Jira Server / Data Center before 8.3.2, Crowd / Crowd Data Center before 3.6.0, Fisheye before 4.7.2, Crucible before 4.7.2, and Bamboo before 6.10.2. El plugin Atlassian Troubleshooting and Support anterior a versión 1.17.2, permite a un usuario sin privilegios iniciar escaneos de registros periódicos y enviar los resultados a una dirección de correo electrónico especificada por el usuario debido a una falta de comprobación de autorización. El mensaje de correo electrónico puede contener información de configuración sobre la aplicación en la que el plugin está instalado. • https://herolab.usd.de/security-advisories/usd-2019-0016 https://jira.atlassian.com/browse/BAM-20647 • CWE-862: Missing Authorization •
CVSS: 5.3EPSS: 30%CPEs: 1EXPL: 4CVE-2019-8449 – Jira 8.3.4 - Information Disclosure (Username Enumeration)
https://notcve.org/view.php?id=CVE-2019-8449
The /rest/api/latest/groupuserpicker resource in Jira before version 8.4.0 allows remote attackers to enumerate usernames via an information disclosure vulnerability. El recurso /rest/api/latest/groupuserpicker en Jira versiones anteriores a 8.4.0, permite a atacantes remotos enumerar nombres de usuario por medio de una vulnerabilidad de divulgación de información. Jira version 8.3.4 suffers from a username enumeration information disclosure vulnerability. • https://www.exploit-db.com/exploits/47990 https://github.com/mufeedvh/CVE-2019-8449 https://github.com/r0lh/CVE-2019-8449 http://packetstormsecurity.com/files/156172/Jira-8.3.4-Information-Disclosure.html https://jira.atlassian.com/browse/JRASERVER-69796 • CWE-306: Missing Authentication for Critical Function •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11588
https://notcve.org/view.php?id=CVE-2019-11588
The ViewSystemInfo class doGarbageCollection method in Jira before version 7.13.6, from version 8.0.0 before version 8.2.3, and from version 8.3.0 before version 8.3.2 allows remote attackers to trigger garbage collection via a Cross-site request forgery (CSRF) vulnerability. El método doGarbageCollection de la clase ViewSystemInfo en Jira antes de la versión 7.13.6, de la versión 8.0.0 antes de la versión 8.2.3 y de la versión 8.3.0 antes de la versión 8.3.2 permite a los atacantes remotos activar la recolección de basura a través de una falsificación de solicitud entre sitios ( CSRF) vulnerabilidad. • https://jira.atlassian.com/browse/JRASERVER-69781 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11587
https://notcve.org/view.php?id=CVE-2019-11587
Various exposed resources of the ViewLogging class in Jira before version 7.13.6, from version 8.0.0 before version 8.2.3, and from version 8.3.0 before version 8.3.2 allow remote attackers to modify various settings via Cross-site request forgery (CSRF). Varios recursos expuestos de la clase ViewLogging en Jira antes de la versión 7.13.6, desde la versión 8.0.0 antes de la versión 8.2.3 y desde la versión 8.3.0 antes de la versión 8.3.2 permiten a los atacantes remotos modificar varias configuraciones a través de la falsificación de solicitudes entre sitios (CSRF). • https://jira.atlassian.com/browse/JRASERVER-69782 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11586
https://notcve.org/view.php?id=CVE-2019-11586
The AddResolution.jspa resource in Jira before version 7.13.6, from version 8.0.0 before version 8.2.3, and from version 8.3.0 before version 8.3.2 allows remote attackers to create new resolutions via a Cross-site request forgery (CSRF) vulnerability. El recurso AddResolution.jspa en Jira antes de la versión 7.13.6, desde la versión 8.0.0 antes de la versión 8.2.3, y desde la versión 8.3.0 antes de la versión 8.3.2 permite a los atacantes remotos crear nuevas resoluciones a través de una falsificación de solicitud entre sitios ( CSRF) vulnerabilidad. • https://jira.atlassian.com/browse/JRASERVER-69783 • CWE-352: Cross-Site Request Forgery (CSRF) •