CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15008
https://notcve.org/view.php?id=CVE-2019-15008
The /plugins/servlet/branchreview resource in Atlassian Fisheye and Crucible before version 4.7.3 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the reviewedBranch parameter. El recurso /plugins/servlet/branchreview en Atlassian Fisheye and Crucible versiones anteriores a 4.7.3, permite a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo cross-site scripting (XSS) en el parámetro reviewBranch. • https://jira.atlassian.com/browse/CRUC-8441 https://jira.atlassian.com/browse/FE-7251 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-15007
https://notcve.org/view.php?id=CVE-2019-15007
The review resource in Atlassian Fisheye and Crucible before version 4.7.3 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability through the name of a missing branch. El recurso de revisión en Atlassian Fisheye and Crucible versiones anteriores a 4.7.3, permite a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo cross-site scripting (XSS) por medio del nombre de una ramificación que falta. • https://jira.atlassian.com/browse/CRUC-8439 https://jira.atlassian.com/browse/FE-7250 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 8EXPL: 0CVE-2019-15005
https://notcve.org/view.php?id=CVE-2019-15005
The Atlassian Troubleshooting and Support Tools plugin prior to version 1.17.2 allows an unprivileged user to initiate periodic log scans and send the results to a user-specified email address due to a missing authorization check. The email message may contain configuration information about the application that the plugin is installed into. A vulnerable version of the plugin is included with Bitbucket Server / Data Center before 6.6.0, Confluence Server / Data Center before 7.0.1, Jira Server / Data Center before 8.3.2, Crowd / Crowd Data Center before 3.6.0, Fisheye before 4.7.2, Crucible before 4.7.2, and Bamboo before 6.10.2. El plugin Atlassian Troubleshooting and Support anterior a versión 1.17.2, permite a un usuario sin privilegios iniciar escaneos de registros periódicos y enviar los resultados a una dirección de correo electrónico especificada por el usuario debido a una falta de comprobación de autorización. El mensaje de correo electrónico puede contener información de configuración sobre la aplicación en la que el plugin está instalado. • https://herolab.usd.de/security-advisories/usd-2019-0016 https://jira.atlassian.com/browse/BAM-20647 • CWE-862: Missing Authorization •
CVSS: 5.4EPSS: 0%CPEs: 14EXPL: 0CVE-2018-20239
https://notcve.org/view.php?id=CVE-2018-20239
Application Links before version 5.0.11, from version 5.1.0 before 5.2.10, from version 5.3.0 before 5.3.6, from version 5.4.0 before 5.4.12, and from version 6.0.0 before 6.0.4 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the applinkStartingUrl parameter. The product is used as a plugin in various Atlassian products where the following are affected: Confluence before version 6.15.2, Crucible before version 4.7.0, Crowd before version 3.4.3, Fisheye before version 4.7.0, Jira before version 7.13.3 and 8.x before 8.1.0. Application Links anterior a la versión 5.0.11, desde la versión 5.1.0 a la 5.2.10, desde la versión 5.3.0 a la 5.3.6, desde la versión 5.4.0 a la 5.4.12, y desde la versión 6.0.0 a la 6.0.4, permite a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo cross site scripting (XSS) en el parámetro applinkStartingUrl. El producto es usado como un complemento en varios productos de Atlassian donde se ven impactados los siguientes: Confluence anterior a la versión 6.15.2, Crucible before anterior a la versión 4.7.0, Crowd anterior a la versión 3.4.3, Fisheye anterior a la versión 4.7.0, Jira anterior a la versión 7.13.3 y versión 8.x anterior a 8.1.0. • https://ecosystem.atlassian.net/browse/APL-1373 https://jira.atlassian.com/browse/CONFSERVER-58208 https://jira.atlassian.com/browse/CRUC-8379 https://jira.atlassian.com/browse/CWD-5362 https://jira.atlassian.com/browse/FE-7161 https://jira.atlassian.com/browse/JRASERVER-68855 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2018-20241
https://notcve.org/view.php?id=CVE-2018-20241
The Edit upload resource for a review in Atlassian Fisheye and Crucible before version 4.7.0 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the wbuser parameter. El recurso de edición de subida para una revisión en Atlassian FishEye y Crucible, en versiones anteriores a la 4.7.0, permiten que atacantes remotos inyecten HTML o JavaScript arbitrarios mediante una vulnerabilidad Cross-Site Scripting (XSS) en el parámetro wbuser. • http://www.securityfocus.com/bid/107128 https://jira.atlassian.com/browse/CRUC-8380 https://jira.atlassian.com/browse/FE-7162 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •