CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-4028
https://notcve.org/view.php?id=CVE-2020-4028
Versions before 8.9.1, Various resources in Jira responded with a 404 instead of redirecting unauthenticated users to the login page, in some situations this may have allowed unauthorised attackers to determine if certain resources exist or not through an Information Disclosure vulnerability. En versiones anteriores a 8.9.1, varios recursos en Jira respondieron con un 404 en lugar de redireccionar a los usuarios no autenticados a la página de inicio de sesión, en algunas situaciones esto puede haber permitido que atacantes no autorizados determinen si existen ciertos recursos o no por medio de una vulnerabilidad de Divulgación de Información • https://jira.atlassian.com/browse/JRASERVER-71175 • CWE-203: Observable Discrepancy •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-20409
https://notcve.org/view.php?id=CVE-2019-20409
The way in which velocity templates were used in Atlassian Jira Server and Data Center prior to version 8.8.0 allowed remote attackers to gain remote code execution if they were able to exploit a server side template injection vulnerability. La manera en que las plantillas de velocidad se usaron en Atlassian Jira Server y Data Center anteriores a la versión 8.8.0, permitió a atacantes remotos obtener una ejecución de código remota, si eran capaces de explotar una vulnerabilidad de inyección de plantillas del lado del servidor • https://jira.atlassian.com/browse/JRASERVER-70944 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2019-20402
https://notcve.org/view.php?id=CVE-2019-20402
Support zip files in Atlassian Jira Server and Data Center before version 8.6.0 could be downloaded by a System Administrator user without requiring the user to re-enter their password via an improper authorization vulnerability. Los archivos zip de soporte en Atlassian Jira Server y Data Center antes de que la versión 8.6.0, pudieran ser descargados por un usuario del Administrador de Sistema sin requerir que el usuario reingrese su contraseña por medio de una vulnerabilidad de autorización inapropiada. • https://jira.atlassian.com/browse/JRASERVER-70564 •