CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 0CVE-2023-4301 – CSRF vulnerability in Fortify Plugin allow capturing credentials
https://notcve.org/view.php?id=CVE-2023-4301
21 Aug 2023 — A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF) en Jenkins Fortify Plugin 22.1.38 y anteriores permite a los atacantes conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el... • https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-4302 – Missing permission checks in Fortify Plugin allow capturing credentials
https://notcve.org/view.php?id=CVE-2023-4302
21 Aug 2023 — A missing permission check in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. La falta de comprobación de permisos en Jenkins Fortify Plugin 22.1.38 y anteriores permite a los atacantes con permiso Overall/Read conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atac... • https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115 • CWE-862: Missing Authorization •
CVSS: 6.4EPSS: 0%CPEs: 1EXPL: 0CVE-2023-4303 – HTML injection vulnerability in Fortify Plugin
https://notcve.org/view.php?id=CVE-2023-4303
21 Aug 2023 — Jenkins Fortify Plugin 22.1.38 and earlier does not escape the error message for a form validation method, resulting in an HTML injection vulnerability. El plugin Jenkins Fortify v22.1.38 y anteriores no escapa el mensaje de error para un método de validación de formularios, lo que resulta en una vulnerabilidad de inyección HTML. • https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3140 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-25188
https://notcve.org/view.php?id=CVE-2022-25188
15 Feb 2022 — Jenkins Fortify Plugin 20.2.34 and earlier does not sanitize the appName and appVersion parameters of its Pipeline steps, allowing attackers with Item/Configure permission to write or overwrite .xml files on the Jenkins controller file system with content not controllable by the attacker. Jenkins Fortify Plugin versiones 20.2.34 y anteriores, no sanea los parámetros appName y appVersion de sus pasos de Pipeline, permitiendo a atacantes con permiso Item/Configure escribir o sobrescribir archivos .xml en el s... • http://www.openwall.com/lists/oss-security/2022/02/15/2 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-2204
https://notcve.org/view.php?id=CVE-2020-2204
02 Jul 2020 — A missing permission check in Jenkins Fortify on Demand Plugin 5.0.1 and earlier allows attackers with Overall/Read permission to connect to the globally configured Fortify on Demand endpoint using attacker-specified credentials IDs. Una falta de comprobación de permiso en Jenkins Fortify on Demand Plugin versiones 5.0.1 y anteriores, permite a atacantes con permiso General y Lectura conectarse al endpoint Fortify on Demand configurado globalmente usando los ID de credenciales especificadas por el atacante • http://www.openwall.com/lists/oss-security/2020/07/02/7 • CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-2202
https://notcve.org/view.php?id=CVE-2020-2202
02 Jul 2020 — A missing permission check in Jenkins Fortify on Demand Plugin 6.0.0 and earlier in form-related methods allowed users with Overall/Read access to enumerate credentials ID of credentials stored in Jenkins. Una falta de comprobación de permisos en Jenkins Fortify on Demand Plugin versiones 6.0.0 y anteriores, en métodos relacionados con formularios permitió a usuarios con acceso General y Lectura enumerar los ID de credenciales de las credenciales almacenadas en Jenkins • http://www.openwall.com/lists/oss-security/2020/07/02/7 • CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 2%CPEs: 1EXPL: 0CVE-2020-2203
https://notcve.org/view.php?id=CVE-2020-2203
02 Jul 2020 — A cross-site request forgery vulnerability in Jenkins Fortify on Demand Plugin 5.0.1 and earlier allows attackers to connect to the globally configured Fortify on Demand endpoint using attacker-specified credentials IDs. Una vulnerabilidad de tipo cross-site request forgery en Jenkins Fortify on Demand Plugin versiones 5.0.1 y anteriores, permite a atacantes conectarse al endpoint Fortify on Demand configurado globalmente usando los ID de credenciales especificadas por el atacante • http://www.openwall.com/lists/oss-security/2020/07/02/7 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-2107
https://notcve.org/view.php?id=CVE-2020-2107
29 Jan 2020 — Jenkins Fortify Plugin 19.1.29 and earlier stores proxy server passwords unencrypted in job config.xml files on the Jenkins master where they can be viewed by users with Extended Read permission, or access to the master file system. Jenkins Fortify Plugin versiones 19.1.29 y anteriores, almacenan las contraseñas del servidor proxy sin cifrar en los archivos de trabajo config.xml en el maestro de Jenkins, donde pueden ser visualizadas por los usuarios con permiso Extended Read o acceso al sistema de archivos... • http://www.openwall.com/lists/oss-security/2020/01/29/1 • CWE-522: Insufficiently Protected Credentials •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10449
https://notcve.org/view.php?id=CVE-2019-10449
16 Oct 2019 — Jenkins Fortify on Demand Plugin stores credentials unencrypted in job config.xml files on the Jenkins master where they can be viewed by users with Extended Read permission, or access to the master file system. Jenkins Fortify on Demand Plugin, almacena las credenciales no encriptadas en los archivos de trabajo config.xml en el maestro de Jenkins, donde pueden ser visualizadas por parte de los usuarios con permiso de Lectura Extendida o acceso al sistema de archivos maestro. • https://jenkins.io/security/advisory/2019-10-16/#SECURITY-1433 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003046
https://notcve.org/view.php?id=CVE-2019-1003046
28 Mar 2019 — A cross-site request forgery vulnerability in Jenkins Fortify on Demand Uploader Plugin 3.0.10 and earlier allows attackers to initiate a connection to an attacker-specified server. Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Jenkins Fortify en el plugin "Demand Uploader", en versiones 3.0.10 y anteriores, permite a los atacantes iniciar una conexión a un servidor especificado por el atacante. • http://www.openwall.com/lists/oss-security/2019/03/28/2 • CWE-352: Cross-Site Request Forgery (CSRF) •