4 results (0.010 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Jenkins Proxmox Plugin 0.7.0 and earlier does not perform a permission check in several HTTP endpoints, allowing attackers with Overall/Read permission to connect to an attacker-specified host using attacker-specified username and password (perform a connection test), disable SSL/TLS validation for the entire Jenkins controller JVM as part of the connection test (see CVE-2022-28142), and test a rollback with attacker-specified parameters. Jenkins Proxmox Plugin versiones 0.7.0 y anteriores, no realiza una comprobación de permisos en varios endpoints HTTP, permitiendo a atacantes con permiso de Overall/Read conectarse a un host especificado por el atacante usando el nombre de usuario y la contraseña especificados por el atacante (llevar a cabo una prueba de conexión), deshabilitar la comprobación SSL/TLS para toda la JVM del controlador de Jenkins como parte de la prueba de conexión (ver CVE-2022-28142), y probar un rollback con parámetros especificados por el atacante • http://www.openwall.com/lists/oss-security/2022/03/29/1 https://www.jenkins.io/security/advisory/2022-03-29/#SECURITY-2082 • CWE-862: Missing Authorization •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

A cross-site request forgery (CSRF) vulnerability in Jenkins Proxmox Plugin 0.7.0 and earlier allows attackers to connect to an attacker-specified host using attacker-specified username and password (perform a connection test), disable SSL/TLS validation for the entire Jenkins controller JVM as part of the connection test (see CVE-2022-28142), and test a rollback with attacker-specified parameters. Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Proxmox Plugin versiones 0.7.0 y anteriores, permite a atacantes conectarse a un host especificado por el atacante usando un nombre de usuario y una contraseña especificados por el atacante (llevar a cabo una prueba de conexión), deshabilitar la comprobación SSL/TLS para toda la JVM del controlador de Jenkins como parte de la prueba de conexión (ver CVE-2022-28142), y probar un retroceso con parámetros especificados por el atacante • http://www.openwall.com/lists/oss-security/2022/03/29/1 https://www.jenkins.io/security/advisory/2022-03-29/#SECURITY-2082 • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

Jenkins Proxmox Plugin 0.6.0 and earlier disables SSL/TLS certificate validation globally for the Jenkins controller JVM when configured to ignore SSL/TLS issues. Jenkins Proxmox Plugin versiones 0.6.0 y anteriores, deshabilitan la comprobación de certificados SSL/TLS globalmente para la JVM del controlador de Jenkins cuando es configurado para ignorar los problemas de SSL/TLS • http://www.openwall.com/lists/oss-security/2022/03/29/1 https://www.jenkins.io/security/advisory/2022-03-29/#SECURITY-2081 • CWE-295: Improper Certificate Validation •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Jenkins Proxmox Plugin 0.5.0 and earlier stores the Proxmox Datacenter password unencrypted in the global config.xml file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system. Jenkins Proxmox Plugin versiones 0.5.0 y anteriores, almacena la contraseña del Centro de Datos Proxmox sin encriptar en el archivo global config.xml en el controlador Jenkins donde puede ser visualizado por usuarios con acceso al sistema de archivos del controlador Jenkins • http://www.openwall.com/lists/oss-security/2022/03/29/1 https://www.jenkins.io/security/advisory/2022-03-29/#SECURITY-2079 • CWE-522: Insufficiently Protected Credentials •