CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12867
https://notcve.org/view.php?id=CVE-2019-12867
Certain actions could cause privilege escalation for issue attachments in JetBrains YouTrack. The issue was fixed in 2018.4.49168. Ciertas acciones podrían causar una escalada de privilegios para problemas de archivos adjuntos en JetBrains YouTrack. El problema se solucionó en la versión 2018.4.49168. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12850
https://notcve.org/view.php?id=CVE-2019-12850
A query injection was possible in JetBrains YouTrack. The issue was fixed in YouTrack 2018.4.49168. Una inyección de consulta fue posible en JetBrains YouTrack. El problema se solucionó en YouTrack 2018.4.49168. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12851
https://notcve.org/view.php?id=CVE-2019-12851
A CSRF vulnerability was detected in one of the admin endpoints of JetBrains YouTrack. The issue was fixed in YouTrack 2018.4.49852. Se detectó una vulnerabilidad CSRF en uno de los puntos finales de administración de JetBrains YouTrack. El problema se solucionó en YouTrack 2018.4.49852. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10100
https://notcve.org/view.php?id=CVE-2019-10100
In JetBrains YouTrack Confluence plugin versions before 1.8.1.3, it was possible to achieve Server Side Template Injection. The attacker could add an Issue macro to the page in Confluence, and use a combination of a valid id field and specially crafted code in the link-text-template field to execute code remotely. En las versiones del plugin de confluencia YouTrack de JetBrains en versiones anteriores a la 1.8.1.3, fue posible lograr la inyección de la plantilla del lado del servidor. El atacante podría agregar una macro de Issue a la página en Confluence y usar una combinación de un campo de identificación válido y un código especialmente diseñado en el campo de la plantilla de texto de enlace para ejecutar el código de forma remota. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-9823
https://notcve.org/view.php?id=CVE-2019-9823
In several JetBrains IntelliJ IDEA versions, creating remote run configurations of JavaEE application servers leads to saving a cleartext record of the server credentials in the IDE configuration files. The issue has been fixed in the following versions: 2018.3.5, 2018.2.8, 2018.1.8. En varias versiones de JetBrains IntelliJ IDEA, la creación de configuraciones de ejecución remota de servidores de aplicaciones JavaEE permite guardar un registro de texto claro de las credenciales del servidor en los archivos de configuración IDE. El problema se ha solucionado en las siguientes versiones: 2018.3.5, 2018.2.8, 2018.1.8. • https://blog.jetbrains.com/blog/2019/06/19/jetbrains-security-bulletin-q1-2019 • CWE-312: Cleartext Storage of Sensitive Information CWE-522: Insufficiently Protected Credentials •