CVE-2021-43946
https://notcve.org/view.php?id=CVE-2021-43946
Affected versions of Atlassian Jira Server and Data Center allow authenticated remote attackers to add administrator groups to filter subscriptions via a Broken Access Control vulnerability in the /secure/EditSubscription.jspa endpoint. The affected versions are before version 8.13.21, and from version 8.14.0 before 8.20.9. Las versiones afectadas de Atlassian Jira Server y Data Center permiten a los atacantes remotos autenticados añadir grupos de administradores para filtrar suscripciones a través de una vulnerabilidad de control de acceso rota en el endpoint /secure/EditSubscription.jspa. Las versiones afectadas son anteriores a la versión 8.13.21, y desde la versión 8.14.0 hasta la 8.20.9 • https://jira.atlassian.com/browse/JRASERVER-73071 •
CVE-2021-43942
https://notcve.org/view.php?id=CVE-2021-43942
Affected versions of Atlassian Jira Server and Data Center allow remote attackers to inject arbitrary HTML or JavaScript via a Reflected Cross-Site Scripting (XSS) vulnerability in the /rest/collectors/1.0/template/custom endpoint. To exploit this issue, the attacker must trick a user into visiting a malicious website. The affected versions are before version 8.13.15, and from version 8.14.0 before 8.20.3. Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes remotos inyectar HTML o JavaScript arbitrarios por medio de una vulnerabilidad de tipo Cross-Site Scripting (XSS) Reflejado en el endpoint /rest/collectors/1.0/template/custom. Para explotar este problema, el atacante debe engañar a un usuario para que visite un sitio web malicioso. • https://jira.atlassian.com/browse/JRASERVER-73068 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-41311
https://notcve.org/view.php?id=CVE-2021-41311
Affected versions of Atlassian Jira Server and Data Center allow attackers with access to an administrator account that has had its access revoked to modify projects' Users & Roles settings, via a Broken Authentication vulnerability in the /plugins/servlet/project-config/PROJECT/roles endpoint. The affected versions are before version 8.19.1. Las versiones afectadas de Atlassian Jira Server y Data Center permiten a atacantes con acceso a una cuenta de administrador a la que le es revocado el acceso, modificar la configuración de Usuarios y Roles de los proyectos, por medio de una vulnerabilidad de Autenticación Rota en el endpoint /plugins/servlet/project-config/PROJECT/roles. Las versiones afectadas son anteriores a la versión 8.19.1 • https://jira.atlassian.com/browse/JRASERVER-72802 • CWE-287: Improper Authentication •
CVE-2021-41309
https://notcve.org/view.php?id=CVE-2021-41309
Affected versions of Atlassian Jira Server and Data Center allow a user who has had their Jira Service Management access revoked to export audit logs of another user's Jira Service Management project via a Broken Authentication vulnerability in the /plugins/servlet/audit/resource endpoint. The affected versions of Jira Server and Data Center are before version 8.19.1. Las versiones afectadas de Atlassian Jira Server y Data Center permiten que un usuario al que le es revocado el acceso a Jira Service Management exporte registros de auditoría del proyecto de Jira Service Management de otro usuario por medio de una vulnerabilidad de Autenticación Rota en el endpoint /plugins/servlet/audit/resource. Las versiones afectadas de Jira Server y Data Center son anteriores a la versión 8.19.1 • https://jira.atlassian.com/browse/JRASERVER-72803 • CWE-287: Improper Authentication •
CVE-2021-41312
https://notcve.org/view.php?id=CVE-2021-41312
Affected versions of Atlassian Jira Server and Data Center allow a remote attacker who has had their access revoked from Jira Service Management to enable and disable Issue Collectors on Jira Service Management projects via an Improper Authentication vulnerability in the /secure/ViewCollectors endpoint. The affected versions are before version 8.19.1. Las versiones afectadas de Atlassian Jira Server y Data Center permiten a un atacante remoto al que le ha sido revocado el acceso a Jira Service Management habilitar y deshabilitar Issue Collectors en proyectos de Jira Service Management por medio de una vulnerabilidad de Autenticación Inapropiada en el endpoint /secure/ViewCollectors. Las versiones afectadas son anteriores a versión 8.19.1 • https://jira.atlassian.com/browse/JRASERVER-72801 • CWE-287: Improper Authentication •