CVE-2019-20902
https://notcve.org/view.php?id=CVE-2019-20902
Upgrading Crowd via XML Data Transfer can reactivate a disabled user from OpenLDAP. The affected versions are from before version 3.4.6 and from 3.5.0 before 3.5.1. La actualización de Crowd a través de la transferencia de datos XML puede reactivar un usuario discapacitado de OpenLDAP. Las versiones afectadas son de antes de la versión 3.4.6 y de la versión 3.5.0 anterior a la 3.5.1 • https://jira.atlassian.com/browse/CWD-5409 •
CVE-2019-20104
https://notcve.org/view.php?id=CVE-2019-20104
The OpenID client application in Atlassian Crowd before version 3.6.2, and from version 3.7.0 before 3.7.1 allows remote attackers to perform a Denial of Service attack via an XML Entity Expansion vulnerability. La aplicación de cliente OpenID en Atlassian Crowd antes de la versión 3.6.2 y desde la versión 3.7.0 anteriores a 3.7.1, permite a atacantes remotos llevar a cabo un ataque de Denegación de Servicio por medio de una vulnerabilidad de tipo XML Entity Expansion. • https://jira.atlassian.com/browse/CWD-5526 https://zeroauth.ltd/blog/2020/02/07/cve-2019-20104-atlassian-crowd-openid-client-vulnerable-to-remote-dos-via-xml-entity-expansion • CWE-776: Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion') •
CVE-2019-15005
https://notcve.org/view.php?id=CVE-2019-15005
The Atlassian Troubleshooting and Support Tools plugin prior to version 1.17.2 allows an unprivileged user to initiate periodic log scans and send the results to a user-specified email address due to a missing authorization check. The email message may contain configuration information about the application that the plugin is installed into. A vulnerable version of the plugin is included with Bitbucket Server / Data Center before 6.6.0, Confluence Server / Data Center before 7.0.1, Jira Server / Data Center before 8.3.2, Crowd / Crowd Data Center before 3.6.0, Fisheye before 4.7.2, Crucible before 4.7.2, and Bamboo before 6.10.2. El plugin Atlassian Troubleshooting and Support anterior a versión 1.17.2, permite a un usuario sin privilegios iniciar escaneos de registros periódicos y enviar los resultados a una dirección de correo electrónico especificada por el usuario debido a una falta de comprobación de autorización. El mensaje de correo electrónico puede contener información de configuración sobre la aplicación en la que el plugin está instalado. • https://herolab.usd.de/security-advisories/usd-2019-0016 https://jira.atlassian.com/browse/BAM-20647 • CWE-862: Missing Authorization •