CVE-2023-46659
https://notcve.org/view.php?id=CVE-2023-46659
Jenkins Edgewall Trac Plugin 1.13 and earlier does not escape the Trac website URL on the build page, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission. Jenkins Edgewall Trac Plugin 1.13 y versiones anteriores no escapan de la URL del sitio web de Trac en la página de compilación, lo que genera una vulnerabilidad de cross-site scripting (XSS) almacenada que pueden explotar los atacantes con permiso Item/Configure. • http://www.openwall.com/lists/oss-security/2023/10/25/2 https://www.jenkins.io/security/advisory/2023-10-25/#SECURITY-3247 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2023-46658
https://notcve.org/view.php?id=CVE-2023-46658
Jenkins MSTeams Webhook Trigger Plugin 0.1.1 and earlier uses a non-constant time comparison function when checking whether the provided and expected webhook token are equal, potentially allowing attackers to use statistical methods to obtain a valid webhook token. Jenkins MSTeams Webhook Trigger Plugin 0.1.1 y versiones anteriores utilizan una función de comparación de tiempo no constante al comprobar si el token de webhook proporcionado y el esperado son iguales, lo que potencialmente permite a los atacantes utilizar métodos estadísticos para obtener un token de webhook válido. • http://www.openwall.com/lists/oss-security/2023/10/25/2 https://www.jenkins.io/security/advisory/2023-10-25/#SECURITY-2876 • CWE-697: Incorrect Comparison •
CVE-2023-46657
https://notcve.org/view.php?id=CVE-2023-46657
Jenkins Gogs Plugin 1.0.15 and earlier uses a non-constant time comparison function when checking whether the provided and expected webhook token are equal, potentially allowing attackers to use statistical methods to obtain a valid webhook token. El complemento Jenkins Gogs 1.0.15 y versiones anteriores utiliza una función de comparación de tiempo no constante al verificar si el token de webhook proporcionado y el esperado son iguales, lo que potencialmente permite a los atacantes usar métodos estadísticos para obtener un token de webhook válido. • http://www.openwall.com/lists/oss-security/2023/10/25/2 https://www.jenkins.io/security/advisory/2023-10-25/#SECURITY-2896 • CWE-697: Incorrect Comparison •
CVE-2023-46656
https://notcve.org/view.php?id=CVE-2023-46656
Jenkins Multibranch Scan Webhook Trigger Plugin 1.0.9 and earlier uses a non-constant time comparison function when checking whether the provided and expected webhook token are equal, potentially allowing attackers to use statistical methods to obtain a valid webhook token. El complemento Jenkins Multibranch Scan Webhook Trigger 1.0.9 y versiones anteriores utiliza una función de comparación de tiempo no constante al comprobar si el token de webhook proporcionado y el esperado son iguales, lo que potencialmente permite a los atacantes utilizar métodos estadísticos para obtener un token de webhook válido. • http://www.openwall.com/lists/oss-security/2023/10/25/2 https://www.jenkins.io/security/advisory/2023-10-25/#SECURITY-2875 • CWE-697: Incorrect Comparison •
CVE-2023-46655
https://notcve.org/view.php?id=CVE-2023-46655
Jenkins CloudBees CD Plugin 1.1.32 and earlier follows symbolic links to locations outside of the directory from which artifacts are published during the 'CloudBees CD - Publish Artifact' post-build step, allowing attackers able to configure jobs to publish arbitrary files from the Jenkins controller file system to the previously configured CloudBees CD server. Jenkins CloudBees CD Plugin 1.1.32 y versiones anteriores siguen enlaces simbólicos a ubicaciones fuera del directorio desde el cual se publican los artefactos durante el paso posterior a la compilación 'CloudBees CD - Publish Artifact', lo que permite a los atacantes configurar trabajos para publicar archivos arbitrarios desde Jenkins del controlador sistema de archivos al servidor de CD CloudBees previamente configurado. • http://www.openwall.com/lists/oss-security/2023/10/25/2 https://www.jenkins.io/security/advisory/2023-10-25/#SECURITY-3238 • CWE-59: Improper Link Resolution Before File Access ('Link Following') •