CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2019-20402
https://notcve.org/view.php?id=CVE-2019-20402
06 Feb 2020 — Support zip files in Atlassian Jira Server and Data Center before version 8.6.0 could be downloaded by a System Administrator user without requiring the user to re-enter their password via an improper authorization vulnerability. Los archivos zip de soporte en Atlassian Jira Server y Data Center antes de que la versión 8.6.0, pudieran ser descargados por un usuario del Administrador de Sistema sin requerir que el usuario reingrese su contraseña por medio de una vulnerabilidad de autorización inapropiada. • https://jira.atlassian.com/browse/JRASERVER-70564 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2019-20106
https://notcve.org/view.php?id=CVE-2019-20106
06 Feb 2020 — Comment properties in Atlassian Jira Server and Data Center before version 7.13.12, from 8.0.0 before version 8.5.4, and 8.6.0 before version 8.6.1 allows remote attackers to make comments on a ticket to which they do not have commenting permissions via a broken access control bug. Las propiedades de comentarios en Atlassian Jira Server y Data Center antes de la versión 7.13.12, desde versión 8.0.0 antes de la versión 8.5.4 y versión 8.6.0 antes de la versión 8.6.1, permiten a atacantes remotos hacer coment... • https://jira.atlassian.com/browse/JRASERVER-70543 • CWE-276: Incorrect Default Permissions •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-15013
https://notcve.org/view.php?id=CVE-2019-15013
18 Dec 2019 — The WorkflowResource class removeStatus method in Jira before version 7.13.12, from version 8.0.0 before version 8.4.3, and from version 8.5.0 before version 8.5.2 allows authenticated remote attackers who do not have project administration access to remove a configured issue status from a project via a missing authorisation check. El método removeStatus de la clase WorkflowResource en Jira versiones anteriores a la versión 7.13.12, desde la versión 8.0.0 anteriores a la versión 8.4.3 y desde la versión 8.5... • https://jira.atlassian.com/browse/JRASERVER-70405 • CWE-862: Missing Authorization •
CVSS: 9.9EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16541 – jenkins-jira-plugin: plugin information disclosure
https://notcve.org/view.php?id=CVE-2019-16541
21 Nov 2019 — Jenkins JIRA Plugin 3.0.10 and earlier does not declare the correct (folder) scope for per-folder Jira site definitions, allowing users to select and use credentials with System scope. Jenkins JIRA Plugin versión 3.0.10 y anteriores, no declara el alcance (carpeta) correcto para las definiciones de sitio de Jira por carpeta, permitiendo a usuarios seleccionar y usar credenciales con alcance System. Jenkins is a continuous integration server that monitors executions of repeated jobs, such as building a softw... • http://www.openwall.com/lists/oss-security/2019/11/21/1 • CWE-522: Insufficiently Protected Credentials CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 4.3EPSS: 0%CPEs: 8EXPL: 0CVE-2019-15005
https://notcve.org/view.php?id=CVE-2019-15005
08 Nov 2019 — The Atlassian Troubleshooting and Support Tools plugin prior to version 1.17.2 allows an unprivileged user to initiate periodic log scans and send the results to a user-specified email address due to a missing authorization check. The email message may contain configuration information about the application that the plugin is installed into. A vulnerable version of the plugin is included with Bitbucket Server / Data Center before 6.6.0, Confluence Server / Data Center before 7.0.1, Jira Server / Data Center... • https://herolab.usd.de/security-advisories/usd-2019-0016 • CWE-862: Missing Authorization •
CVSS: 5.3EPSS: 80%CPEs: 1EXPL: 5CVE-2019-8449 – Jira 8.3.4 - Information Disclosure (Username Enumeration)
https://notcve.org/view.php?id=CVE-2019-8449
11 Sep 2019 — The /rest/api/latest/groupuserpicker resource in Jira before version 8.4.0 allows remote attackers to enumerate usernames via an information disclosure vulnerability. El recurso /rest/api/latest/groupuserpicker en Jira versiones anteriores a 8.4.0, permite a atacantes remotos enumerar nombres de usuario por medio de una vulnerabilidad de divulgación de información. Jira version 8.3.4 suffers from a username enumeration information disclosure vulnerability. • https://packetstorm.news/files/id/156172 • CWE-306: Missing Authentication for Critical Function •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11588
https://notcve.org/view.php?id=CVE-2019-11588
23 Aug 2019 — The ViewSystemInfo class doGarbageCollection method in Jira before version 7.13.6, from version 8.0.0 before version 8.2.3, and from version 8.3.0 before version 8.3.2 allows remote attackers to trigger garbage collection via a Cross-site request forgery (CSRF) vulnerability. El método doGarbageCollection de la clase ViewSystemInfo en Jira antes de la versión 7.13.6, de la versión 8.0.0 antes de la versión 8.2.3 y de la versión 8.3.0 antes de la versión 8.3.2 permite a los atacantes remotos activar la recol... • https://jira.atlassian.com/browse/JRASERVER-69781 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11587
https://notcve.org/view.php?id=CVE-2019-11587
23 Aug 2019 — Various exposed resources of the ViewLogging class in Jira before version 7.13.6, from version 8.0.0 before version 8.2.3, and from version 8.3.0 before version 8.3.2 allow remote attackers to modify various settings via Cross-site request forgery (CSRF). Varios recursos expuestos de la clase ViewLogging en Jira antes de la versión 7.13.6, desde la versión 8.0.0 antes de la versión 8.2.3 y desde la versión 8.3.0 antes de la versión 8.3.2 permiten a los atacantes remotos modificar varias configuraciones a tr... • https://jira.atlassian.com/browse/JRASERVER-69782 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11586
https://notcve.org/view.php?id=CVE-2019-11586
23 Aug 2019 — The AddResolution.jspa resource in Jira before version 7.13.6, from version 8.0.0 before version 8.2.3, and from version 8.3.0 before version 8.3.2 allows remote attackers to create new resolutions via a Cross-site request forgery (CSRF) vulnerability. El recurso AddResolution.jspa en Jira antes de la versión 7.13.6, desde la versión 8.0.0 antes de la versión 8.2.3, y desde la versión 8.3.0 antes de la versión 8.3.2 permite a los atacantes remotos crear nuevas resoluciones a través de una falsificación de s... • https://jira.atlassian.com/browse/JRASERVER-69783 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-11585
https://notcve.org/view.php?id=CVE-2019-11585
23 Aug 2019 — The startup.jsp resource in Jira before version 7.13.6, from version 8.0.0 before version 8.2.3, and from version 8.3.0 before version 8.3.2 allows remote attackers to redirect users to a different website which they may use as part of performing a phishing attack via an open redirect. El recurso startup.jsp en Jira antes de la versión 7.13.6, desde la versión 8.0.0 antes de la versión 8.2.3 y desde la versión 8.3.0 antes de la versión 8.3.2 permite a los atacantes remotos redirigir a los usuarios a un siti... • https://jira.atlassian.com/browse/JRASERVER-69784 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •