CVSS: 8.1EPSS: 0%CPEs: 4EXPL: 0CVE-2019-9872
https://notcve.org/view.php?id=CVE-2019-9872
In several versions of JetBrains IntelliJ IDEA Ultimate, creating run configurations for cloud application servers leads to saving a cleartext unencrypted record of the server credentials in the IDE configuration files. If the Settings Repository plugin was then used and configured to synchronize IDE settings using a public repository, these credentials were published to this repository. The issue has been fixed in the following versions: 2019.1, 2018.3.5, 2018.2.8, and 2018.1.8. En varias versiones de IntelliJ IDEA Ultimate de JetBrains, la creación de configuraciones de ejecución para servidores de aplicaciones en la nube permite guardar un registro sin cifrar de texto claro de las credenciales del servidor en los archivos de configuración de IDE. Si el complemento de Repositorio de configuración se usó y configuró para sincronizar la configuración de IDE utilizando un repositorio público, estas credenciales se publicaron en este repositorio. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 • CWE-312: Cleartext Storage of Sensitive Information CWE-522: Insufficiently Protected Credentials •
CVSS: 9.8EPSS: 1%CPEs: 4EXPL: 0CVE-2019-9186
https://notcve.org/view.php?id=CVE-2019-9186
In several JetBrains IntelliJ IDEA versions, a Spring Boot run configuration with the default setting allowed remote attackers to execute code when the configuration is running, because a JMX server listens on all interfaces (instead of listening on only the localhost interface). This issue has been fixed in the following versions: 2019.1, 2018.3.4, 2018.2.8, 2018.1.8, and 2017.3.7. En varias versiones de JetBrains IntelliJ IDEA, una configuración de ejecución Spring Boot con la configuración predeterminada permitió a los atacantes remotos ejecutar código cuando la configuración se está ejecutando, porque un servidor JMX escucha en todas las interfaces (en lugar de escuchar solo en la interfaz localhost). Este problema se ha solucionado en las siguientes versiones: 2019.1, 2018.3.4, 2018.2.8, 2018.1.8 y 2017.3.7. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12847
https://notcve.org/view.php?id=CVE-2019-12847
In JetBrains Hub versions earlier than 2018.4.11298, the audit events for SMTPSettings show a cleartext password to the admin user. It is only relevant in cases where a password has not changed since 2017, and if the audit log still contains events from before that period. En las versiones de JetBrains Hub anteriores a 2018.4.11298, los eventos de auditoría para SMTPSettings muestran una contraseña de texto sin cifrar para el usuario administrador. Solo es relevante en los casos en que una contraseña no haya cambiado desde 2017, y si el registro de auditoría todavía contiene eventos anteriores a ese período. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 • CWE-522: Insufficiently Protected Credentials •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12866
https://notcve.org/view.php?id=CVE-2019-12866
An Insecure Direct Object Reference, with Authorization Bypass through a User-Controlled Key, was possible in JetBrains YouTrack. The issue was fixed in 2018.4.49168. En JetBrains YouTrack fue posible una referencia de objetos directa no segura, con una derivación de autorización a través de una clave controlada por el usuario. El problema se solucionó en 2018.4.49168. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12867
https://notcve.org/view.php?id=CVE-2019-12867
Certain actions could cause privilege escalation for issue attachments in JetBrains YouTrack. The issue was fixed in 2018.4.49168. Ciertas acciones podrían causar una escalada de privilegios para problemas de archivos adjuntos en JetBrains YouTrack. El problema se solucionó en la versión 2018.4.49168. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 •