CVSS: 9.0EPSS: 1%CPEs: 12EXPL: 0CVE-2019-15001
https://notcve.org/view.php?id=CVE-2019-15001
The Jira Importers Plugin in Atlassian Jira Server and Data Cente from version with 7.0.10 before 7.6.16, from 7.7.0 before 7.13.8, from 8.0.0 before 8.1.3, from 8.2.0 before 8.2.5, from 8.3.0 before 8.3.4 and from 8.4.0 before 8.4.1 allows remote attackers with Administrator permissions to gain remote code execution via a template injection vulnerability through the use of a crafted PUT request. El plugin Jira Importers en Atlassian Jira Server y Data Cente desde la versión 7.0.10 anterior a 7.6.16, desde 7.7.0 anterior a 7.13.8, desde 8.0.0 anterior a 8.1.3, desde 8.2.0 anterior a 8.2.5, desde 8.3.0 anterior a 8.3.4 y desde 8.4.0 anteriores a 8.4.1, permite a atacantes remotos con permisos de Administrador conseguir la ejecución de código remota por medio de una vulnerabilidad de inyección de plantilla mediante el uso de una petición PUT diseñada • http://packetstormsecurity.com/files/154611/Jira-Server-Data-Center-Template-Injection.html https://jira.atlassian.com/browse/JRASERVER-69933 https://seclists.org/bugtraq/2019/Sep/42 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 6.5EPSS: 97%CPEs: 1EXPL: 4CVE-2019-8451
https://notcve.org/view.php?id=CVE-2019-8451
The /plugins/servlet/gadgets/makeRequest resource in Jira before version 8.4.0 allows remote attackers to access the content of internal network resources via a Server Side Request Forgery (SSRF) vulnerability due to a logic bug in the JiraWhitelist class. El recurso /plugins/servlet/gadgets/makeRequest en Jira versiones anteriores a 8.4.0, permite a atacantes remotos acceder al contenido de recursos de la red interna por medio de una vulnerabilidad de tipo Server Side Request Forgery (SSRF) debido a un error lógico en la clase JiraWhitelist. • https://github.com/jas502n/CVE-2019-8451 https://github.com/h0ffayyy/Jira-CVE-2019-8451 https://github.com/0xbug/CVE-2019-8451 https://github.com/ianxtianxt/CVE-2019-8451 https://jira.atlassian.com/browse/JRASERVER-69793 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-14998
https://notcve.org/view.php?id=CVE-2019-14998
The Webwork action Cross-Site Request Forgery (CSRF) protection implementation in Jira before version 8.4.0 allows remote attackers to bypass its protection via "cookie tossing" a CSRF cookie from a subdomain of a Jira instance. La implementación de la protección de Cross-Site Request Forgery (CSRF) de una acción de Webwork en Jira versiones anteriores a 8.4.0, permite a atacantes remotos omitir su protección mediante el "cookie tossing" de una cookie CSRF desde un subdominio de una instancia de Jira. • https://jira.atlassian.com/browse/JRASERVER-69791 https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0835 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 2CVE-2019-14995
https://notcve.org/view.php?id=CVE-2019-14995
The /rest/api/1.0/render resource in Jira before version 8.4.0 allows remote anonymous attackers to determine if an attachment with a specific name exists and if an issue key is valid via a missing permissions check. El recurso /rest/api/1.0/render en Jira versiones anteriores a 8.4.0, permite a atacantes anónimos remotos determinar si existe un archivo adjunto con un nombre específico y si una clave de problema es válida mediante una falta de comprobación de permisos. • https://jira.atlassian.com/browse/JRASERVER-69792 https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0836 https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0837 • CWE-862: Missing Authorization CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 15%CPEs: 1EXPL: 1CVE-2019-8446
https://notcve.org/view.php?id=CVE-2019-8446
The /rest/issueNav/1/issueTable resource in Jira before version 8.3.2 allows remote attackers to enumerate usernames via an incorrect authorisation check. El recurso / rest / issueNav / 1 / issueTable en Jira antes de la versión 8.3.2 permite a los atacantes remotos enumerar nombres de usuario mediante una verificación de autorización incorrecta. • https://jira.atlassian.com/browse/JRASERVER-69777 https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0839 • CWE-863: Incorrect Authorization •