CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-20824
https://notcve.org/view.php?id=CVE-2018-20824
The WallboardServlet resource in Jira before version 7.13.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the cyclePeriod parameter. El recurso WallboardServlet en Jira en versiones anteriores a la 7.13.1 permite a los atacantes remotos inyectar HTML o JavaScript arbitrarios a través de una vulnerabilidad XSS (Cross Site Scripting) en el parámetro cyclePeriod. • https://jira.atlassian.com/browse/JRASERVER-69238 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 16%CPEs: 2EXPL: 0CVE-2019-3399
https://notcve.org/view.php?id=CVE-2019-3399
The BrowseProjects.jspa resource in Jira before version 7.13.2, and from version 8.0.0 before version 8.0.2 allows remote attackers to see information for archived projects through a missing authorisation check. El recurso BrowseProjects.jspa en Jira anterior a la versión 7.13.2 y desde la versión 8.0.0 anterior a la versión 8.0.2 permite a los atacantes remotos observar información de proyectos archivados por a una falta de comprobación de autorización. • https://jira.atlassian.com/browse/JRASERVER-69246 • CWE-862: Missing Authorization CWE-863: Incorrect Authorization •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2018-13403
https://notcve.org/view.php?id=CVE-2018-13403
The two-dimensional filter statistics gadget in Atlassian Jira before version 7.6.10, from version 7.7.0 before version 7.12.4, and from version 7.13.0 before version 7.13.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the name of a saved filter when displayed on a Jira dashboard. El gadget de estadísticas de filtro en dos dimensiones en Atlassian Jira, en versiones anteriores a la 7.6.10, desde la versión 7.7.0 hasta antes de la 7.12.4 y desde la versión 7.13.0 hasta antes de la 7.13.1, permite que los atacantes remotos inyecten HTML o JavaScript arbitrarios mediante una vulnerabilidad Cross-Site Scripting (XSS) en el nombre de un filtro guardado cuando se muestra en un dashboard de Jira. • https://jira.atlassian.com/browse/JRASERVER-68526 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.1EPSS: 0%CPEs: 8EXPL: 0CVE-2018-13404
https://notcve.org/view.php?id=CVE-2018-13404
The VerifyPopServerConnection resource in Atlassian Jira before version 7.6.10, from version 7.7.0 before version 7.7.5, from version 7.8.0 before version 7.8.5, from version 7.9.0 before version 7.9.3, from version 7.10.0 before version 7.10.3, from version 7.11.0 before version 7.11.3, from version 7.12.0 before version 7.12.3, and from version 7.13.0 before version 7.13.1 allows remote attackers who have administrator rights to determine the existence of internal hosts & open ports and in some cases obtain service information from internal network resources via a Server Side Request Forgery (SSRF) vulnerability. El recurso VerifyPopServerConnection en Atlassian Jira, en versiones anteriores a la 7.6.10, desde la versión 7.7.0 antes de la 7.7.5, desde la versión 7.8.0 antes de la 7.8.5, desde la versión 7.9.0 antes de la 7.9.3, desde la versión 7.10.0 antes de la 7.10.3, desde la versión 7.11.0 antes de la 7.11.3, desde la versión 7.12.0 antes de la 7.12.3 y desde la versión 7.13.0 antes de la 7.13.1, permite que los atacantes remotos con derechos de administrador determinen la existencia de puertos abiertos en los hosts internos y, en algunos casos, obtengan información sensible de los recursos de la red interna mediante una vulnerabilidad Server-Side Request Forgery (SSRF). • https://jira.atlassian.com/browse/JRASERVER-68527 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2018-20232
https://notcve.org/view.php?id=CVE-2018-20232
The labels widget gadget in Atlassian Jira before version 7.6.11 and from version 7.7.0 before version 7.13.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the rendering of retrieved content from a url location that could be manipulated by the up_projectid widget preference setting. El gadget de widget de etiquetas en Atlassian Jira, en versiones anteriores a la 7.6.11 y desde la versión 7.7.0 hasta antes de la 7.13.1, permite que los atacantes remotos inyecten HTML o JavaScript arbitrarios mediante una vulnerabilidad Cross-Site Scripting (XSS) en el renderizado del contenido recuperado de una ubicación de URL que podría ser manipulada por la opción de preferencias de widget up_projectid. • http://www.securityfocus.com/bid/107023 https://jira.atlassian.com/browse/JRASERVER-68614 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •