CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2018-13395
https://notcve.org/view.php?id=CVE-2018-13395
Various resources in Atlassian Jira before version 7.6.8, from version 7.7.0 before version 7.7.5, from version 7.8.0 before version 7.8.5, from version 7.9.0 before version 7.9.3, from version 7.10.0 before version 7.10.3 and before version 7.11.1 allow remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the epic colour field of an issue while an issue is being moved. Varios recursos en Atlassian Jira en versiones anteriores a la 7.6.8, desde la versión 7.7.0 hasta antes de la 7.7.5, desde la versión 7.8.0 hasta antes de la 7.8.5, desde la versión 7.9.0 hasta antes de la 7.9.3, desde la versión 7.10.0 hasta antes de la 7.10.3 y antes de la versión 7.11.1 permiten que atacantes remotos inyecten Código HTML o JavaScript arbitrario mediante una vulnerabilidad de Cross-Site Scripting (XSS) en el campo epic colour de un problema mientras se está moviendo un problema. • https://jira.atlassian.com/browse/JRASERVER-67848 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2018-13391
https://notcve.org/view.php?id=CVE-2018-13391
The ProfileLinkUserFormat component of Jira Server before version 7.6.8, from version 7.7.0 before version 7.7.5, from version 7.8.0 before version 7.8.5, from version 7.9.0 before version 7.9.3, from version 7.10.0 before version 7.10.3 and from version 7.11.0 before version 7.11.2 allows remote attackers who can access & view an issue to obtain the email address of the reporter and assignee user of an issue despite the configured email visibility setting being set to hidden. El componente ProfileLinkUserFormat de Jira Server, en versiones anteriores a la 7.6.8, desde la versión 7.7.0 hasta antes de la 7.7.5, desde la versión 7.8.0 hasta antes de la 7.8.5, desde la versión 7.9.0 hasta antes de la 7.9.3, desde la versión 7.10.0 hasta antes de la 7.10.3 y desde la versión 7.11.0 hasta antes de la 7.11.2, permite que atacantes remotos que puedan acceder vean un problema para obtener la dirección de email del usuario que reporta el problema y del usuario encargado de un problema a pesar de que la opción de visibilidad de emails esté configurada como oculta. • http://www.securityfocus.com/bid/105165 https://jira.atlassian.com/browse/JRASERVER-67750 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.9EPSS: 0%CPEs: 2EXPL: 1CVE-2017-18104
https://notcve.org/view.php?id=CVE-2017-18104
The Webhooks component of Atlassian Jira before version 7.6.7 and from version 7.7.0 before version 7.11.0 allows remote attackers who are able to observe or otherwise intercept webhook events to learn information about changes in issues that should not be sent because they are not contained within the results of a specified JQL query. El componente Webhooks en Atlassian Jira, en versiones anteriores a la 7.6.7 y desde la versión 7.7.0 hasta la 7.11.0, permite que atacantes remotos que puedan observar o interceptar eventos webhook aprendan información sobre cambios en problemas que no deberían ser enviados, puesto que no están incluidos en los resultados de una consulta JQL especificada. • https://jira.atlassian.com/browse/JRASERVER-59980 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-5232
https://notcve.org/view.php?id=CVE-2018-5232
The EditIssue.jspa resource in Atlassian Jira before version 7.6.7 and from version 7.7.0 before version 7.10.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the issuetype parameter. El recurso EditIssue.jspa en Atlassian Jira antes de la versión 7.6.7 y desde la versión 7.7.0 hasta la 7.10.1 permite que atacantes remotos inyecten HTML o JavaScript arbitrario mediante una vulnerabilidad Cross-Site Scripting (XSS) en el parámetro issuetype. • https://jira.atlassian.com/browse/JRASERVER-67410 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 5EXPL: 0CVE-2018-13387
https://notcve.org/view.php?id=CVE-2018-13387
The IncomingMailServers resource in Atlassian JIRA Server before version 7.6.7, from version 7.7.0 before version 7.7.5, from version 7.8.0 before version 7.8.5, from version 7.9.0 before version 7.9.3 and from version 7.10.0 before version 7.10.2 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the messagesThreshold parameter as the fix for CVE-2017-18039 was incomplete. El recurso IncomingMailServers en Atlassian JIRA Server en versiones anteriores a la 7.6.7, desde la versión 7.7.0 antes de la 7.7.5, desde la versión 7.8.0 antes de la 7.8.5, desde la versión 7.9.0 antes de la 7.9.3 y desde la versión 7.10.0 antes de la 7.10.2 permite que atacantes remotos inyecten HTML o JavaScript arbitrarios mediante una vulnerabilidad Cross-Site Scripting (XSS) en el parámetro messagesThreshold, ya que la solución para CVE-2017-18039 estaba incompleta. • http://www.securityfocus.com/bid/104890 https://jira.atlassian.com/browse/JRASERVER-67526 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •