Page 8 of 39 results (0.013 seconds)

CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0

Affected versions of Atlassian Jira Server and Data Center allow unauthenticated remote attackers to download temporary files and enumerate project keys via an Information Disclosure vulnerability in the /rest/api/1.0/issues/{id}/ActionsAndOperations API endpoint. The affected versions are before version 8.5.11, from version 8.6.0 before 8.13.3, and from version 8.14.0 before 8.15.0. Versiones afectadas de Atlassian Jira Server y Data Center, permiten a atacantes remotos no autenticados descargar archivos temporales y enumerar claves de proyectos por medio de una vulnerabilidad de Divulgación de Información en el endpoint de la API /rest/api/1.0/issues/{id}/ActionsAndOperations. Las versiones afectadas son anteriores a 8.5.11, desde versión 8.6.0 anteriores a 8.13.3 y desde versión 8.14.0 anteriores a 8.15.0 • https://jira.atlassian.com/browse/JRASERVER-72010 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •

CVSS: 5.0EPSS: 0%CPEs: 11EXPL: 0

The MessageBundleWhiteList class of atlassian-gadgets before version 4.2.37, from version 4.3.0 before 4.3.14, from version 4.3.2.0 before 4.3.2.4, from version 4.4.0 before 4.4.12, and from version 5.0.0 before 5.0.1 allowed unexpected DNS lookups and requests to arbitrary services as it incorrectly obtained application base url information from the executing http request which could be attacker controlled. La clase MessageBundleWhiteList de atlassian-gadgets versiones anteriores a 4.2.37, desde versiones 4.3.0 anteriores a 4.3.14, desde versiones 4.3.2.0 anteriores a 4.3.2.4, desde versiones 4.4.0 anteriores a 4.4.12 y desde versiones 5.0.0 anteriores a 5.0.1, permitió búsquedas de DNS no previstas y peticiones a servicios arbitrarios, ya que obtuvo incorrectamente una información de la URL base de la aplicación desde la petición http en ejecución que podría ser controlada por el atacante • https://jira.atlassian.com/browse/JRASERVER-72025 • CWE-918: Server-Side Request Forgery (SSRF) •

CVSS: 5.3EPSS: 1%CPEs: 6EXPL: 0

The CachingResourceDownloadRewriteRule class in Jira Server and Jira Data Center before version 8.5.11, from 8.6.0 before 8.13.3, and from 8.14.0 before 8.15.0 allowed unauthenticated remote attackers to read arbitrary files within WEB-INF and META-INF directories via an incorrect path access check. La clase CachingResourceDownloadRewriteRule en Jira Server y Jira Data Center versiones anteriores a 8.5.11, desde 8.6.0 anteriores a 8.13.3 y desde 8.14.0 anteriores a 8.15.0, permitía a atacantes remotos no autenticados leer archivos arbitrarios dentro de los directorios WEB-INF y META-INF por medio de una comprobación de acceso de una ruta incorrecta • https://jira.atlassian.com/browse/JRASERVER-72014 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 4.8EPSS: 0%CPEs: 6EXPL: 0

Affected versions of Atlassian Jira Server and Data Center allow remote attackers to inject arbitrary HTML or JavaScript via a Cross-Site Scripting (XSS) vulnerability in the Screens Modal view. The affected versions are before version 8.5.11, from version 8.6.0 before 8.13.3, and from version 8.14.0 before 8.15.0. Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la vista Screens Modal. Las versiones afectadas son anteriores a la versión 8.5.11, desde la versión 8.6.0 anteriores a 8.13.3 y desde la versión 8.14.0 anteriores a 8.15.0 • https://jira.atlassian.com/browse/JRASERVER-72059 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •