CVE-2023-49655
https://notcve.org/view.php?id=CVE-2023-49655
A cross-site request forgery (CSRF) vulnerability in Jenkins MATLAB Plugin 2.11.0 and earlier allows attackers to have Jenkins parse an XML file from the Jenkins controller file system. Una vulnerabilidad de cross-site request forgery (CSRF) en Jenkins MATLAB Plugin 2.11.0 y versiones anteriores permite a los atacantes hacer que Jenkins analice un archivo XML del sistema de archivos del controlador Jenkins. • http://www.openwall.com/lists/oss-security/2023/11/29/1 https://www.jenkins.io/security/advisory/2023-11-29/#SECURITY-3193 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2023-49654
https://notcve.org/view.php?id=CVE-2023-49654
Missing permission checks in Jenkins MATLAB Plugin 2.11.0 and earlier allow attackers to have Jenkins parse an XML file from the Jenkins controller file system. Las comprobaciones de permisos faltantes en Jenkins MATLAB Plugin 2.11.0 y versiones anteriores permiten a los atacantes hacer que Jenkins analice un archivo XML del sistema de archivos del controlador Jenkins. • http://www.openwall.com/lists/oss-security/2023/11/29/1 https://www.jenkins.io/security/advisory/2023-11-29/#SECURITY-3193 • CWE-862: Missing Authorization •
CVE-2023-49653
https://notcve.org/view.php?id=CVE-2023-49653
Jenkins Jira Plugin 3.11 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Item/Configure permission to access and capture credentials they are not entitled to. Jenkins Jira Plugin 3.11 y versiones anteriores no establecen el contexto apropiado para la búsqueda de credenciales, lo que permite a los atacantes con permiso Elemento/Configurar acceder y capturar credenciales a las que no tienen derecho. • http://www.openwall.com/lists/oss-security/2023/11/29/1 https://www.jenkins.io/security/advisory/2023-11-29/#SECURITY-3225 • CWE-522: Insufficiently Protected Credentials •
CVE-2023-49652
https://notcve.org/view.php?id=CVE-2023-49652
Incorrect permission checks in Jenkins Google Compute Engine Plugin 4.550.vb_327fca_3db_11 and earlier allow attackers with global Item/Configure permission (while lacking Item/Configure permission on any particular job) to enumerate system-scoped credentials IDs of credentials stored in Jenkins and to connect to Google Cloud Platform using attacker-specified credentials IDs obtained through another method, to obtain information about existing projects. This fix has been backported to 4.3.17.1. Las comprobaciones de permisos incorrectas en el complemento Jenkins Google Compute Engine 4.550.vb_327fca_3db_11 y versiones anteriores permiten a atacantes con permiso global de Elemento/Configuración (aunque carecen del permiso de Elemento/Configuración en cualquier trabajo en particular) enumerar las ID de las credenciales almacenadas en Jenkins y conectarse a Google Cloud Platform utiliza ID de credenciales especificadas por el atacante obtenidas mediante otro método, para obtener información sobre proyectos existentes. Esta solución se ha actualizado a 4.3.17.1. • http://www.openwall.com/lists/oss-security/2023/11/29/1 https://www.jenkins.io/security/advisory/2023-11-29/#SECURITY-2835 • CWE-862: Missing Authorization •
CVE-2023-46660
https://notcve.org/view.php?id=CVE-2023-46660
Jenkins Zanata Plugin 0.6 and earlier uses a non-constant time comparison function when checking whether the provided and expected webhook token hashes are equal, potentially allowing attackers to use statistical methods to obtain a valid webhook token. Jenkins Zanata Plugin 0.6 y versiones anteriores utilizan una función de comparación de tiempo no constante al comprobar si los hashes del token de webhook proporcionado y esperado son iguales, lo que potencialmente permite a los atacantes utilizar métodos estadísticos para obtener un token de webhook válido. • http://www.openwall.com/lists/oss-security/2023/10/25/2 https://www.jenkins.io/security/advisory/2023-10-25/#SECURITY-2879 • CWE-697: Incorrect Comparison •