CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-34180
https://notcve.org/view.php?id=CVE-2022-34180
Jenkins Embeddable Build Status Plugin 2.0.3 and earlier does not correctly perform the ViewStatus permission check in the HTTP endpoint it provides for "unprotected" status badge access, allowing attackers without any permissions to obtain the build status badge icon for any attacker-specified job and/or build. Jenkins Embeddable Build Status Plugin 2.0.3 y anteriores, no lleva a cabo correctamente la comprobación de permiso ViewStatus en el endpoint HTTP que proporciona para el acceso a la insignia de estado "desprotegida", permitiendo a atacantes sin ningún permiso obtener el icono de la insignia de estado de construcción para cualquier trabajo y/o construcción especificado por el atacante • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2794 • CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-34179
https://notcve.org/view.php?id=CVE-2022-34179
Jenkins Embeddable Build Status Plugin 2.0.3 and earlier allows specifying a `style` query parameter that is used to choose a different SVG image style without restricting possible values, resulting in a relative path traversal vulnerability that allows attackers without Overall/Read permission to specify paths to other SVG images on the Jenkins controller file system. Jenkins Embeddable Build Status Plugin versiones 2.0.3 y anteriores, permite especificar un parámetro de consulta "style" que es usada para elegir un estilo de imagen SVG diferente sin restringir los valores posibles, resultando en una vulnerabilidad de salto de ruta relativa que permite a atacantes sin permiso Overall/Read especificar rutas a otras imágenes SVG en el sistema de archivos del controlador de Jenkins • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2792 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10346
https://notcve.org/view.php?id=CVE-2019-10346
A reflected cross site scripting vulnerability in Jenkins Embeddable Build Status Plugin 2.0.1 and earlier allowed attackers inject arbitrary HTML and JavaScript into the response of this plugin. Una vulnerabilidad de tipo cross site scripting reflejado en el Plugin Embeddable Build Status versión 2.0.1 y anteriores de Jenkins, permitió que los atacantes inyectaran HTML y JavaScript arbitrario en la respuesta de este plugin. • http://www.openwall.com/lists/oss-security/2019/07/11/4 http://www.securityfocus.com/bid/109156 https://jenkins.io/security/advisory/2019-07-11/#SECURITY-1419 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •