CVE-2017-18104
https://notcve.org/view.php?id=CVE-2017-18104
The Webhooks component of Atlassian Jira before version 7.6.7 and from version 7.7.0 before version 7.11.0 allows remote attackers who are able to observe or otherwise intercept webhook events to learn information about changes in issues that should not be sent because they are not contained within the results of a specified JQL query. El componente Webhooks en Atlassian Jira, en versiones anteriores a la 7.6.7 y desde la versión 7.7.0 hasta la 7.11.0, permite que atacantes remotos que puedan observar o interceptar eventos webhook aprendan información sobre cambios en problemas que no deberían ser enviados, puesto que no están incluidos en los resultados de una consulta JQL especificada. • https://jira.atlassian.com/browse/JRASERVER-59980 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2018-5232
https://notcve.org/view.php?id=CVE-2018-5232
The EditIssue.jspa resource in Atlassian Jira before version 7.6.7 and from version 7.7.0 before version 7.10.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the issuetype parameter. El recurso EditIssue.jspa en Atlassian Jira antes de la versión 7.6.7 y desde la versión 7.7.0 hasta la 7.10.1 permite que atacantes remotos inyecten HTML o JavaScript arbitrario mediante una vulnerabilidad Cross-Site Scripting (XSS) en el parámetro issuetype. • https://jira.atlassian.com/browse/JRASERVER-67410 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-13387
https://notcve.org/view.php?id=CVE-2018-13387
The IncomingMailServers resource in Atlassian JIRA Server before version 7.6.7, from version 7.7.0 before version 7.7.5, from version 7.8.0 before version 7.8.5, from version 7.9.0 before version 7.9.3 and from version 7.10.0 before version 7.10.2 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the messagesThreshold parameter as the fix for CVE-2017-18039 was incomplete. El recurso IncomingMailServers en Atlassian JIRA Server en versiones anteriores a la 7.6.7, desde la versión 7.7.0 antes de la 7.7.5, desde la versión 7.8.0 antes de la 7.8.5, desde la versión 7.9.0 antes de la 7.9.3 y desde la versión 7.10.0 antes de la 7.10.2 permite que atacantes remotos inyecten HTML o JavaScript arbitrarios mediante una vulnerabilidad Cross-Site Scripting (XSS) en el parámetro messagesThreshold, ya que la solución para CVE-2017-18039 estaba incompleta. • http://www.securityfocus.com/bid/104890 https://jira.atlassian.com/browse/JRASERVER-67526 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-5231
https://notcve.org/view.php?id=CVE-2018-5231
The ForgotLoginDetails resource in Atlassian Jira before version 7.6.6, from version 7.7.0 before version 7.7.4, from version 7.8.0 before version 7.8.4 and from version 7.9.0 before version 7.9.2 allows remote attackers to perform a denial of service attack via sending requests to it. El recurso ForgotLoginDetails en Atlassian Jira en versiones anteriores a la 7.6.6, desde la versión 7.7.0 hasta la 7.7.4, desde la versión 7.8.0 hasta la 7.8.4 y desde la versión 7.9.0 hasta la 7.9.2 permite que atacantes remotos realicen un ataque de denegación de servicio (DoS) mediante el envío de peticiones al mismo. • http://www.securityfocus.com/bid/104205 https://jira.atlassian.com/browse/JRASERVER-67290 •
CVE-2018-5230
https://notcve.org/view.php?id=CVE-2018-5230
The issue collector in Atlassian Jira before version 7.6.6, from version 7.7.0 before version 7.7.4, from version 7.8.0 before version 7.8.4 and from version 7.9.0 before version 7.9.2 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the error message of custom fields when an invalid value is specified. El recolector de incidencias en Atlassian Jira en versiones anteriores a la 7.6.6, desde la versión 7.7.0 hasta la 7.7.4, desde la 7.8.0 hasta la 7.8.4 y desde la 7.9.0 hasta la 7.9.2 permite que los atacantes remotos inyecten código JavaScript o HTML arbitrario mediante una vulnerabilidad Cross-Site Scripting (XSS) en en el mensaje de error de los campos personalizados cuando se especifica un valor no válido. • https://jira.atlassian.com/browse/JRASERVER-67289 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •