CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2021-21683
https://notcve.org/view.php?id=CVE-2021-21683
The file browser in Jenkins 2.314 and earlier, LTS 2.303.1 and earlier may interpret some paths to files as absolute on Windows, resulting in a path traversal vulnerability allowing attackers with Overall/Read permission (Windows controller) or Job/Workspace permission (Windows agents) to obtain the contents of arbitrary files. El navegador de archivos en Jenkins versiones 2.314 y anteriores, LTS versiones 2.303.1 y anteriores, puede interpretar algunas rutas de archivos como absolutas en Windows, resultando en una vulnerabilidad de salto de ruta que permite a atacantes con permiso de Overall/Read (controlador de Windows) o permiso de Job/Workspace (agentes de Windows) obtener el contenido de archivos arbitrarios • http://www.openwall.com/lists/oss-security/2021/10/06/1 https://www.jenkins.io/security/advisory/2021-10-06/#SECURITY-2481 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2021-21682
https://notcve.org/view.php?id=CVE-2021-21682
Jenkins 2.314 and earlier, LTS 2.303.1 and earlier accepts names of jobs and other entities with a trailing dot character, potentially replacing the configuration and data of other entities on Windows. Jenkins versiones 2.314 y anteriores, LTS versiones 2.303.1 y anteriores, aceptan nombres de trabajos y otras entidades con un carácter de punto al final, reemplazando potencialmente la configuración y los datos de otras entidades en Windows • http://www.openwall.com/lists/oss-security/2021/10/06/1 https://www.jenkins.io/security/advisory/2021-10-06/#SECURITY-2424 •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-21681
https://notcve.org/view.php?id=CVE-2021-21681
Jenkins Nomad Plugin 0.7.4 and earlier stores Docker passwords unencrypted in the global config.xml file on the Jenkins controller where they can be viewed by users with access to the Jenkins controller file system. El plugin Nomad de Jenkins versiones 0.7.4 y anteriores, almacena las contraseñas de Docker sin cifrar en el archivo global config.xml del controlador Jenkins, donde pueden ser visualizadas por usuarios con acceso al sistema de archivos del controlador Jenkins • http://www.openwall.com/lists/oss-security/2021/08/31/1 https://www.jenkins.io/security/advisory/2021-08-31/#SECURITY-2396 • CWE-522: Insufficiently Protected Credentials •
CVSS: 7.1EPSS: 0%CPEs: 1EXPL: 0CVE-2021-21680
https://notcve.org/view.php?id=CVE-2021-21680
Jenkins Nested View Plugin 1.20 and earlier does not configure its XML transformer to prevent XML external entity (XXE) attacks. El Plugin Nested View de Jenkins versiones 1.20 y anteriores, no configura su transformador XML para prevenir ataques de tipo XML external entity (XXE) • http://www.openwall.com/lists/oss-security/2021/08/31/1 https://www.jenkins.io/security/advisory/2021-08-31/#SECURITY-2411 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-21679
https://notcve.org/view.php?id=CVE-2021-21679
Jenkins Azure AD Plugin 179.vf6841393099e and earlier allows attackers to craft URLs that would bypass the CSRF protection of any target URL in Jenkins. El Plugin Azure AD de Jenkins versiones 179.vf6841393099e y anteriores, permite a atacantes diseñar URLs que podrían omitir la protección CSRF de cualquier URL de destino en Jenkins • http://www.openwall.com/lists/oss-security/2021/08/31/1 https://www.jenkins.io/security/advisory/2021-08-31/#SECURITY-2470 • CWE-352: Cross-Site Request Forgery (CSRF) •