CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2023-49673
https://notcve.org/view.php?id=CVE-2023-49673
A cross-site request forgery (CSRF) vulnerability in Jenkins NeuVector Vulnerability Scanner Plugin 1.22 and earlier allows attackers to connect to an attacker-specified hostname and port using attacker-specified username and password. Una vulnerabilidad de cross-site request forgery (CSRF) en Jenkins NeuVector Vulnerability Scanner Plugin 1.22 y versiones anteriores permite a los atacantes conectarse a un nombre de host y puerto especificados por el atacante utilizando un nombre de usuario y contraseña especificados por el atacante. • http://www.openwall.com/lists/oss-security/2023/11/29/1 https://www.jenkins.io/security/advisory/2023-11-29/#SECURITY-3256 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-49653
https://notcve.org/view.php?id=CVE-2023-49653
Jenkins Jira Plugin 3.11 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Item/Configure permission to access and capture credentials they are not entitled to. Jenkins Jira Plugin 3.11 y versiones anteriores no establecen el contexto apropiado para la búsqueda de credenciales, lo que permite a los atacantes con permiso Elemento/Configurar acceder y capturar credenciales a las que no tienen derecho. • http://www.openwall.com/lists/oss-security/2023/11/29/1 https://www.jenkins.io/security/advisory/2023-11-29/#SECURITY-3225 • CWE-522: Insufficiently Protected Credentials •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24438
https://notcve.org/view.php?id=CVE-2023-24438
A missing permission check in Jenkins JIRA Pipeline Steps Plugin 2.0.165.v8846cf59f3db and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una verificación de permiso faltante en el complemento JIRA Pipeline Steps de Jenkins en su versión 2.0.165.v8846cf59f3db y anteriores permite a atacantes con permiso general/lectura conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2786 • CWE-862: Missing Authorization •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24439
https://notcve.org/view.php?id=CVE-2023-24439
Jenkins JIRA Pipeline Steps Plugin 2.0.165.v8846cf59f3db and earlier stores the private keys unencrypted in its global configuration file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system. El complemento JIRA Pipeline Steps de Jenkins en su versión 2.0.165.v8846cf59f3db y anteriores almacena las claves privadas sin cifrar en su archivo de configuración global en el controlador Jenkins, donde los usuarios con acceso al sistema de archivos del controlador Jenkins pueden verlas. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2774 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24440
https://notcve.org/view.php?id=CVE-2023-24440
Jenkins JIRA Pipeline Steps Plugin 2.0.165.v8846cf59f3db and earlier transmits the private key in plain text as part of the global Jenkins configuration form, potentially resulting in their exposure. El complemento JIRA Pipeline Steps de Jenkins en su versión 2.0.165.v8846cf59f3db y anteriores transmite la clave privada en texto sin formato como parte del formulario de configuración global de Jenkins, lo que potencialmente resulta en su exposición. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2774 • CWE-319: Cleartext Transmission of Sensitive Information •