CVE-2019-11584
https://notcve.org/view.php?id=CVE-2019-11584
The MigratePriorityScheme resource in Jira before version 8.3.2 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the priority icon url of an issue priority. El recurso MigratePriorityScheme en Jira antes de la versión 8.3.2 permite a los atacantes remotos inyectar HTML o JavaScript arbitrario a través de una vulnerabilidad de scripting entre sitios (XSS) en la url del icono de prioridad de una prioridad de problema. • https://jira.atlassian.com/browse/JRASERVER-69785 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-20826
https://notcve.org/view.php?id=CVE-2018-20826
The inline-create rest resource in Jira before version 7.12.3 allows authenticated remote attackers to set the reporter in issues via a missing authorisation check. El recurso rest inline-create en Jira anterior a versión 7.12.3, permite a los atacantes remotos autenticados configurar al reportero en problemas por medio de una falta de comprobación de autorización. • https://jira.atlassian.com/browse/JRASERVER-69239 • CWE-863: Incorrect Authorization •
CVE-2019-11581 – Atlassian Jira Server and Data Center Server-Side Template Injection Vulnerability
https://notcve.org/view.php?id=CVE-2019-11581
There was a server-side template injection vulnerability in Jira Server and Data Center, in the ContactAdministrators and the SendBulkMail actions. An attacker is able to remotely execute code on systems that run a vulnerable version of Jira Server or Data Center. All versions of Jira Server and Data Center from 4.4.0 before 7.6.14, from 7.7.0 before 7.13.5, from 8.0.0 before 8.0.3, from 8.1.0 before 8.1.2, and from 8.2.0 before 8.2.3 are affected by this vulnerability. Se presentó una vulnerabilidad de inyección de plantilla en el lado del servidor en Jira Server y Data Center, en las acciones ContactAdministrators y SendBulkMail. Un atacante puede ejecutar código remotamente sobre sistemas que ejecutan una versión vulnerable de Jira Server o Data Center. • https://github.com/jas502n/CVE-2019-11581 https://github.com/kobs0N/CVE-2019-11581 https://github.com/PetrusViet/CVE-2019-11581 https://jira.atlassian.com/browse/JRASERVER-69532 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVE-2019-11583
https://notcve.org/view.php?id=CVE-2019-11583
The issue searching component in Jira before version 8.1.0 allows remote attackers to deny access to Jira service via denial of service vulnerability in issue search when ordering by "Epic Name". El problema de componente de búsqueda en Jira anterior de la versión 8.1.0 permite que los atacantes remotos denieguen el acceso al servicio de Jira a través de la vulnerabilidad de denegación de servicio en la búsqueda de problemas al ordenar por "EPIC NAME". • http://www.securityfocus.com/bid/108901 https://jira.atlassian.com/browse/JSWSERVER-20111 •
CVE-2019-8442
https://notcve.org/view.php?id=CVE-2019-8442
The CachingResourceDownloadRewriteRule class in Jira before version 7.13.4, and from version 8.0.0 before version 8.0.4, and from version 8.1.0 before version 8.1.1 allows remote attackers to access files in the Jira webroot under the META-INF directory via a lax path access check. CachingResourceDownloadRewriteRule class in Jira antes versión 7.13.4, y desde la versión 8.0.0 antes de la versión 8.0.4, y desde la versión 8.1.0 antes versión 8.1.1, permite a los atacantes remotos acceder a los archivos en el webroot de Jira bajo el directorio META-INF mediante una comprobación lax path. • http://www.securityfocus.com/bid/108460 https://jira.atlassian.com/browse/JRASERVER-69241 •