CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-34175
https://notcve.org/view.php?id=CVE-2022-34175
Jenkins 2.335 through 2.355 (both inclusive) allows attackers in some cases to bypass a protection mechanism, thereby directly accessing some view fragments containing sensitive information, bypassing any permission checks in the corresponding view. Jenkins versiones 2.335 hasta 2.355 (ambas incluyéndolas) permite a atacantes, en algunos casos, omitir un mecanismo de protección, accediendo así directamente a algunos fragmentos de visualizaciones que contienen información confidencial, omitiendo cualquier comprobación de permisos en la visualización correspondiente • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2777 •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2022-34174 – jenkins: Observable timing discrepancy allows determining username validity
https://notcve.org/view.php?id=CVE-2022-34174
In Jenkins 2.355 and earlier, LTS 2.332.3 and earlier, an observable timing discrepancy on the login form allows distinguishing between login attempts with an invalid username, and login attempts with a valid username and wrong password, when using the Jenkins user database security realm. En Jenkins versiones 2.355 y anteriores, LTS versiones 2.332.3 y anteriores, una discrepancia de tiempo observable en el formulario de inicio de sesión permite distinguir entre los intentos de inicio de sesión con un nombre de usuario no válido, y los intentos de inicio de sesión con un nombre de usuario válido y una contraseña incorrecta, cuando se usa el ámbito de seguridad de la base de datos de usuarios de Jenkins • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2566 https://access.redhat.com/security/cve/CVE-2022-34174 https://bugzilla.redhat.com/show_bug.cgi?id=2119653 • CWE-203: Observable Discrepancy CWE-208: Observable Timing Discrepancy •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-34173
https://notcve.org/view.php?id=CVE-2022-34173
In Jenkins 2.340 through 2.355 (both inclusive) the tooltip of the build button in list views supports HTML without escaping the job display name, resulting in a cross-site scripting (XSS) vulnerability exploitable by attackers with Job/Configure permission. En Jenkins versiones 2.340 hasta 2.355 (ambas incluyéndolas) el tooltip del botón de construcción en las visualizaciones de lista soporta HTML sin escapar el nombre de visualización del trabajo, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) explotable por atacantes con permiso Job/Configure • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2781 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-34172
https://notcve.org/view.php?id=CVE-2022-34172
In Jenkins 2.340 through 2.355 (both inclusive) symbol-based icons unescape previously escaped values of 'tooltip' parameters, resulting in a cross-site scripting (XSS) vulnerability. En Jenkins versiones 2.340 hasta 2.355 (ambas incluyéndolas) los iconos basados en símbolos no escapan los valores previamente escapados de los parámetros "tooltip", resultando en una vulnerabilidad de tipo cross-site scripting (XSS) • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2781 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2022-34171
https://notcve.org/view.php?id=CVE-2022-34171
In Jenkins 2.321 through 2.355 (both inclusive) and LTS 2.332.1 through LTS 2.332.3 (both inclusive) the HTML output generated for new symbol-based SVG icons includes the 'title' attribute of 'l:ionicon' (until Jenkins 2.334) and 'alt' attribute of 'l:icon' (since Jenkins 2.335) without further escaping, resulting in a cross-site scripting (XSS) vulnerability. En Jenkins versiones 2.321 hasta 2.355 (ambas incluyéndolas) y LTS 2.332.1 hasta LTS 2.332.3 (ambas incluyéndolas) la salida HTML generada para nuevos iconos SVG basados en símbolos incluye el atributo "title" de "l:ionicon" (hasta Jenkins 2.334) y el atributo "alt" de "l:icon" (desde Jenkins versión 2.335) sin escaparse, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2781 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •