3 results (0.005 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

Jenkins Embeddable Build Status Plugin 2.0.3 and earlier does not correctly perform the ViewStatus permission check in the HTTP endpoint it provides for "unprotected" status badge access, allowing attackers without any permissions to obtain the build status badge icon for any attacker-specified job and/or build. Jenkins Embeddable Build Status Plugin 2.0.3 y anteriores, no lleva a cabo correctamente la comprobación de permiso ViewStatus en el endpoint HTTP que proporciona para el acceso a la insignia de estado "desprotegida", permitiendo a atacantes sin ningún permiso obtener el icono de la insignia de estado de construcción para cualquier trabajo y/o construcción especificado por el atacante • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2794 • CWE-863: Incorrect Authorization •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

Jenkins Embeddable Build Status Plugin 2.0.3 and earlier allows specifying a `style` query parameter that is used to choose a different SVG image style without restricting possible values, resulting in a relative path traversal vulnerability that allows attackers without Overall/Read permission to specify paths to other SVG images on the Jenkins controller file system. Jenkins Embeddable Build Status Plugin versiones 2.0.3 y anteriores, permite especificar un parámetro de consulta "style" que es usada para elegir un estilo de imagen SVG diferente sin restringir los valores posibles, resultando en una vulnerabilidad de salto de ruta relativa que permite a atacantes sin permiso Overall/Read especificar rutas a otras imágenes SVG en el sistema de archivos del controlador de Jenkins • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2792 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0

Jenkins Embeddable Build Status Plugin 2.0.3 allows specifying a 'link' query parameter that build status badges will link to, without restricting possible values, resulting in a reflected cross-site scripting (XSS) vulnerability. Jenkins Embeddable Build Status Plugin versión 2.0.3, permite especificar un parámetro de consulta "link" al que enlazarán las insignias de estado de construcción, sin restringir los valores posibles, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) reflejado • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2567 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •