CVSS: 6.1EPSS: 52%CPEs: 2EXPL: 0CVE-2019-3402
https://notcve.org/view.php?id=CVE-2019-3402
22 May 2019 — The ConfigurePortalPages.jspa resource in Jira before version 7.13.3 and from version 8.0.0 before version 8.1.1 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the searchOwnerUserName parameter. ConfigurePortalPages.jspa resource in Jira antes versión 7.13.3 y desde la versión 8.0.0 antes versión 8.1.1, permite a los atacantes remotos inyectar HTML o JavaScript arbitrarios mediante una vulnerabilidad de tipo cross-site scripting (XSS) en el p... • https://jira.atlassian.com/browse/JRASERVER-69243 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.1EPSS: 1%CPEs: 3EXPL: 0CVE-2019-8443
https://notcve.org/view.php?id=CVE-2019-8443
22 May 2019 — The ViewUpgrades resource in Jira before version 7.13.4, from version 8.0.0 before version 8.0.4, and from version 8.1.0 before version 8.1.1 allows remote attackers who have obtained access to administrator's session to access the ViewUpgrades administrative resource without needing to re-authenticate to pass "WebSudo" through an improper access control vulnerability. El recurso ViewUpgrades en Jira antes de la versión 7.13.4, desde la versión 8.0.0 antes de la versión 8.0.4, y desde la versión 8.1.0 antes... • http://www.securityfocus.com/bid/108458 • CWE-287: Improper Authentication •
CVSS: 5.3EPSS: 90%CPEs: 3EXPL: 2CVE-2019-3403
https://notcve.org/view.php?id=CVE-2019-3403
22 May 2019 — The /rest/api/2/user/picker rest resource in Jira before version 7.13.3, from version 8.0.0 before version 8.0.4, and from version 8.1.0 before version 8.1.1 allows remote attackers to enumerate usernames via an incorrect authorisation check. The /rest/api/2/user/picker rest resource en Jira antes de la versión 7.13.3, desde la versión 8.0.0 antes versión 8.0.4, y desde versión 8.1.0 antes de la versión 8.1.1, permite a los atacantes remotos enumerar los nombres de usuario mediante una comprobación de autor... • https://github.com/davidmckennirey/CVE-2019-3403 • CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 80%CPEs: 2EXPL: 0CVE-2019-3401
https://notcve.org/view.php?id=CVE-2019-3401
22 May 2019 — The ManageFilters.jspa resource in Jira before version 7.13.3 and from version 8.0.0 before version 8.1.1 allows remote attackers to enumerate usernames via an incorrect authorisation check. ManageFilters.jspa resource in Jira antes versión 7.13.3 y desde versión 8.0.0 antes versión 8.1.1, permite a los atacantes remotos enumerar los nombres de usuario mediante una comprobación de autorización incorrecta. • https://jira.atlassian.com/browse/JRASERVER-69244 • CWE-863: Incorrect Authorization •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2019-3400
https://notcve.org/view.php?id=CVE-2019-3400
03 May 2019 — The labels gadget in Jira before version 7.13.2, and from version 8.0.0 before version 8.0.2 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the jql parameter. El gadget de etiquetas en Jira, en versiones anteriores a 7.13.2 y a partir de la versión 8.0.0 pero antes de la versión 8.0.2, permite a los atacantes remotos inyectar HTML o JavaScript arbitrarios a través de una vulnerabilidad de XSS en el parámetro jql. • http://www.securityfocus.com/bid/108168 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2019-3399
https://notcve.org/view.php?id=CVE-2019-3399
30 Apr 2019 — The BrowseProjects.jspa resource in Jira before version 7.13.2, and from version 8.0.0 before version 8.0.2 allows remote attackers to see information for archived projects through a missing authorisation check. El recurso BrowseProjects.jspa en Jira anterior a la versión 7.13.2 y desde la versión 8.0.0 anterior a la versión 8.0.2 permite a los atacantes remotos observar información de proyectos archivados por a una falta de comprobación de autorización. • https://jira.atlassian.com/browse/JRASERVER-69246 • CWE-862: Missing Authorization CWE-863: Incorrect Authorization •
CVSS: 5.4EPSS: 0%CPEs: 14EXPL: 0CVE-2018-20239
https://notcve.org/view.php?id=CVE-2018-20239
30 Apr 2019 — Application Links before version 5.0.11, from version 5.1.0 before 5.2.10, from version 5.3.0 before 5.3.6, from version 5.4.0 before 5.4.12, and from version 6.0.0 before 6.0.4 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the applinkStartingUrl parameter. The product is used as a plugin in various Atlassian products where the following are affected: Confluence before version 6.15.2, Crucible before version 4.7.0, Crowd before version 3.4.3... • https://ecosystem.atlassian.net/browse/APL-1373 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2017-18102
https://notcve.org/view.php?id=CVE-2017-18102
17 Apr 2018 — The wiki markup component of atlassian-renderer from version 8.0.0 before version 8.0.22 allows remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in nested wiki markup. El componente review dashboard en atlassian-renderer desde la versión 8.0.0 hasta antes de la versión 8.0.22 permite que atacantes remotos inyecten HTML o JavaScript arbitrario mediante una vulnerabilidad cross-Site Scripting (XSS) en el marcado wiki anidado. • https://jira.atlassian.com/browse/JRASERVER-67108 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •