6 results (0.001 seconds)

CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0

A cross-site request forgery (CSRF) vulnerability in Jenkins NeuVector Vulnerability Scanner Plugin 1.22 and earlier allows attackers to connect to an attacker-specified hostname and port using attacker-specified username and password. Una vulnerabilidad de cross-site request forgery (CSRF) en Jenkins NeuVector Vulnerability Scanner Plugin 1.22 y versiones anteriores permite a los atacantes conectarse a un nombre de host y puerto especificados por el atacante utilizando un nombre de usuario y contraseña especificados por el atacante. • http://www.openwall.com/lists/oss-security/2023/11/29/1 https://www.jenkins.io/security/advisory/2023-11-29/#SECURITY-3256 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 2.7EPSS: 0%CPEs: 1EXPL: 0

Incorrect permission checks in Jenkins Google Compute Engine Plugin 4.550.vb_327fca_3db_11 and earlier allow attackers with global Item/Configure permission (while lacking Item/Configure permission on any particular job) to enumerate system-scoped credentials IDs of credentials stored in Jenkins and to connect to Google Cloud Platform using attacker-specified credentials IDs obtained through another method, to obtain information about existing projects. This fix has been backported to 4.3.17.1. Las comprobaciones de permisos incorrectas en el complemento Jenkins Google Compute Engine 4.550.vb_327fca_3db_11 y versiones anteriores permiten a atacantes con permiso global de Elemento/Configuración (aunque carecen del permiso de Elemento/Configuración en cualquier trabajo en particular) enumerar las ID de las credenciales almacenadas en Jenkins y conectarse a Google Cloud Platform utiliza ID de credenciales especificadas por el atacante obtenidas mediante otro método, para obtener información sobre proyectos existentes. Esta solución se ha actualizado a 4.3.17.1. • http://www.openwall.com/lists/oss-security/2023/11/29/1 https://www.jenkins.io/security/advisory/2023-11-29/#SECURITY-2835 • CWE-862: Missing Authorization •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

Jenkins Google Compute Engine Plugin 4.3.8 and earlier stores private keys unencrypted in cloud agent config.xml files on the Jenkins controller where they can be viewed by users with Extended Read permission, or access to the Jenkins controller file system. Jenkins Google Compute Engine Plugin versiones 4.3.8 y anteriores, almacena las claves privadas sin cifrar en los archivos config.xml del agente de la nube en el controlador de Jenkins, donde pueden ser visualizados por usuarios con permiso de Lectura Extendida, o el acceso al sistema de archivos del controlador de Jenkins • https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2045 • CWE-522: Insufficiently Protected Credentials •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

A cross-site request forgery vulnerability in Jenkins Google Compute Engine Plugin 4.1.1 and earlier in ComputeEngineCloud#doProvision could be used to provision new agents. Una vulnerabilidad de tipo cross-site request forgery en Jenkins Google Compute Engine Plugin versión 4.1.1 y anteriores, en ComputeEngineCloud#doProvision podría ser usada para aprovisionar nuevos agentes. • http://www.openwall.com/lists/oss-security/2019/11/21/1 https://jenkins.io/security/advisory/2019-11-21/#SECURITY-1586 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

Missing permission checks in various API endpoints in Jenkins Google Compute Engine Plugin 4.1.1 and earlier allow attackers with Overall/Read permission to obtain limited information about the plugin configuration and environment. La falta de comprobaciones de permisos en varios endpoints de la API en Jenkins Google Compute Engine Plugin versión 4.1.1 y anteriores, permiten a atacantes con permiso General y de Lectura obtener información limitada acerca de la configuración y el entorno del plugin. • http://www.openwall.com/lists/oss-security/2019/11/21/1 https://jenkins.io/security/advisory/2019-11-21/#SECURITY-1585 • CWE-862: Missing Authorization •