CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-28147
https://notcve.org/view.php?id=CVE-2022-28147
A missing permission check in Jenkins Continuous Integration with Toad Edge Plugin 2.3 and earlier allows attackers with Overall/Read permission to check for the existence of an attacker-specified file path on the Jenkins controller file system. Una falta de comprobación de permisos en Jenkins Continuous Integration with Toad Edge Plugin versiones 2.3 y anteriores, permite a atacantes con permiso Overall/Read comprobar la existencia de una ruta de archivo especificada por el atacante en el sistema de archivos del controlador Jenkins • http://www.openwall.com/lists/oss-security/2022/03/29/1 https://www.jenkins.io/security/advisory/2022-03-29/#SECURITY-2635 • CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-28146
https://notcve.org/view.php?id=CVE-2022-28146
Jenkins Continuous Integration with Toad Edge Plugin 2.3 and earlier allows attackers with Item/Configure permission to read arbitrary files on the Jenkins controller by specifying an input folder on the Jenkins controller as a parameter to its build steps. Jenkins Continuous Integration with Toad Edge Plugin versiones 2.3 y anteriores, permite a atacantes con permiso Item/Configure leer archivos arbitrarios en el controlador Jenkins especificando una carpeta de entrada en el controlador Jenkins como un parámetro para sus pasos de construcción • http://www.openwall.com/lists/oss-security/2022/03/29/1 https://www.jenkins.io/security/advisory/2022-03-29/#SECURITY-2633 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-28145
https://notcve.org/view.php?id=CVE-2022-28145
Jenkins Continuous Integration with Toad Edge Plugin 2.3 and earlier does not apply Content-Security-Policy headers to report files it serves, resulting in a stored cross-site scripting (XSS) exploitable by attackers with Item/Configure permission or otherwise able to control report contents. Jenkins Continuous Integration with Toad Edge Plugin versiones 2.3 y anteriores, no aplican los encabezados Content-Security-Policy a los archivos de informes que sirve, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado explotable por atacantes con permiso Item/Configure o que puedan controlar el contenido de los informes • http://www.openwall.com/lists/oss-security/2022/03/29/1 https://www.jenkins.io/security/advisory/2022-03-29/#SECURITY-1892 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-28144
https://notcve.org/view.php?id=CVE-2022-28144
Jenkins Proxmox Plugin 0.7.0 and earlier does not perform a permission check in several HTTP endpoints, allowing attackers with Overall/Read permission to connect to an attacker-specified host using attacker-specified username and password (perform a connection test), disable SSL/TLS validation for the entire Jenkins controller JVM as part of the connection test (see CVE-2022-28142), and test a rollback with attacker-specified parameters. Jenkins Proxmox Plugin versiones 0.7.0 y anteriores, no realiza una comprobación de permisos en varios endpoints HTTP, permitiendo a atacantes con permiso de Overall/Read conectarse a un host especificado por el atacante usando el nombre de usuario y la contraseña especificados por el atacante (llevar a cabo una prueba de conexión), deshabilitar la comprobación SSL/TLS para toda la JVM del controlador de Jenkins como parte de la prueba de conexión (ver CVE-2022-28142), y probar un rollback con parámetros especificados por el atacante • http://www.openwall.com/lists/oss-security/2022/03/29/1 https://www.jenkins.io/security/advisory/2022-03-29/#SECURITY-2082 • CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-28143
https://notcve.org/view.php?id=CVE-2022-28143
A cross-site request forgery (CSRF) vulnerability in Jenkins Proxmox Plugin 0.7.0 and earlier allows attackers to connect to an attacker-specified host using attacker-specified username and password (perform a connection test), disable SSL/TLS validation for the entire Jenkins controller JVM as part of the connection test (see CVE-2022-28142), and test a rollback with attacker-specified parameters. Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Proxmox Plugin versiones 0.7.0 y anteriores, permite a atacantes conectarse a un host especificado por el atacante usando un nombre de usuario y una contraseña especificados por el atacante (llevar a cabo una prueba de conexión), deshabilitar la comprobación SSL/TLS para toda la JVM del controlador de Jenkins como parte de la prueba de conexión (ver CVE-2022-28142), y probar un retroceso con parámetros especificados por el atacante • http://www.openwall.com/lists/oss-security/2022/03/29/1 https://www.jenkins.io/security/advisory/2022-03-29/#SECURITY-2082 • CWE-352: Cross-Site Request Forgery (CSRF) •