CVE-2020-36231
https://notcve.org/view.php?id=CVE-2020-36231
Affected versions of Atlassian Jira Server and Data Center allow remote attackers to view the metadata of boards they should not have access to via an Insecure Direct Object References (IDOR) vulnerability. The affected versions are before version 8.5.10, and from version 8.6.0 before 8.13.2. çLas versiones afectadas de Atlassian Jira Server y Data Center, permiten a atacantes remotos visualizar los metadatos de las tarjetas a las que no deberían tener acceso por medio de una vulnerabilidad de Insecure Direct Object References (IDOR). Las versiones afectadas son anteriores a 8.5.10 y desde la versión 8.6.0 versiones anteriores a 8.13.2 • https://jira.atlassian.com/browse/JRASERVER-72002 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2020-14179
https://notcve.org/view.php?id=CVE-2020-14179
Affected versions of Atlassian Jira Server and Data Center allow remote, unauthenticated attackers to view custom field names and custom SLA names via an Information Disclosure vulnerability in the /secure/QueryComponent!Default.jspa endpoint. The affected versions are before version 8.5.8, and from version 8.6.0 before 8.11.1. Las versiones afectadas de Atlassian Jira Server y Data Center, permiten a atacantes remotos no autenticados visualizar nombres de campos personalizados y nombres de SLA personalizados por medio de una vulnerabilidad de Divulgación de Información en el endpoint /secure/QueryComponent!Default.jspa. • https://github.com/c0brabaghdad1/CVE-2020-14179 https://github.com/mrnazu/CVE-2020-14179 https://github.com/0romos/CVE-2020-14179 https://jira.atlassian.com/browse/JRASERVER-71536 •
CVE-2020-14178
https://notcve.org/view.php?id=CVE-2020-14178
Affected versions of Atlassian Jira Server and Data Center allow remote attackers to enumerate project keys via an Information Disclosure vulnerability in the /browse.PROJECTKEY endpoint. The affected versions are before version 7.13.7, from version 8.0.0 before 8.5.8, and from version 8.6.0 before 8.12.0. Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos enumerar las claves de proyecto por medio de una vulnerabilidad de Divulgación de Información en el endpoint /browse.PROJECTKEY. Las versiones afectadas son anteriores a versión 7.13.7, desde la versión 8.0.0 anteriores a 8.5.8 y desde la versión 8.6.0 anteriores a 8.12.0 • https://jira.atlassian.com/browse/JRASERVER-71498 •
CVE-2020-14174
https://notcve.org/view.php?id=CVE-2020-14174
Affected versions of Atlassian Jira Server and Data Center allow remote attackers to view titles of a private project via an Insecure Direct Object References (IDOR) vulnerability in the Administration Permission Helper. The affected versions are before version 7.13.6, from version 8.0.0 before 8.5.7, from version 8.6.0 before 8.9.2, and from version 8.10.0 before 8.10.1. Las versiones afectadas de Atlassian Jira Server y Data Center, permiten a atacantes remotos visualizar títulos de un proyecto privado por medio de una vulnerabilidad de Referencia Directa a Objetos No Segura (IDOR) en el Administration Permission Helper. Las versiones afectadas son anteriores a versión 7.13.6, desde versión 8.0.0 anteriores a 8.5.7, desde versión 8.6.0 anteriores a 8.9.2 y desde versión 8.10.0 anteriores a 8.10.1 • https://jira.atlassian.com/browse/JRASERVER-71275 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2019-20900
https://notcve.org/view.php?id=CVE-2019-20900
Affected versions of Atlassian Jira Server and Data Center allow remote attackers to inject arbitrary HTML or JavaScript via a cross site scripting (XSS) vulnerability in the Add Field module. The affected versions are before version 8.7.0. Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo cross site scripting (XSS) en el módulo Add Field. Las versiones afectadas son anteriores a la versión 8.7.0 • https://jira.atlassian.com/browse/JRASERVER-70858 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •