CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-2101
https://notcve.org/view.php?id=CVE-2020-2101
Jenkins 2.218 and earlier, LTS 2.204.1 and earlier did not use a constant-time comparison function for validating connection secrets, which could potentially allow an attacker to use a timing attack to obtain this secret. Jenkins versiones 2.218 y anteriores, versiones LTS 2.204.1 y anteriores, no usaban una función de comparación de tiempo constante para comprobar secretos de conexión, lo que podría potencialmente permitir a un atacante usar un ataque de sincronización para obtener este secreto. • http://www.openwall.com/lists/oss-security/2020/01/29/1 https://access.redhat.com/errata/RHBA-2020:0402 https://access.redhat.com/errata/RHBA-2020:0675 https://access.redhat.com/errata/RHSA-2020:0681 https://access.redhat.com/errata/RHSA-2020:0683 https://jenkins.io/security/advisory/2020-01-29/#SECURITY-1659 • CWE-203: Observable Discrepancy •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-2102
https://notcve.org/view.php?id=CVE-2020-2102
Jenkins 2.218 and earlier, LTS 2.204.1 and earlier used a non-constant time comparison function when validating an HMAC. Jenkins versiones 2.218 y anteriores, versiones LTS 2.204.1 y anteriores, usó una función de comparación de tiempo no constante cuando se compara un HMAC. • http://www.openwall.com/lists/oss-security/2020/01/29/1 https://access.redhat.com/errata/RHBA-2020:0402 https://access.redhat.com/errata/RHBA-2020:0675 https://access.redhat.com/errata/RHSA-2020:0681 https://access.redhat.com/errata/RHSA-2020:0683 https://jenkins.io/security/advisory/2020-01-29/#SECURITY-1660 • CWE-203: Observable Discrepancy •
CVSS: 8.6EPSS: 0%CPEs: 2EXPL: 0CVE-2020-2099
https://notcve.org/view.php?id=CVE-2020-2099
Jenkins 2.213 and earlier, LTS 2.204.1 and earlier improperly reuses encryption key parameters in the Inbound TCP Agent Protocol/3, allowing unauthorized attackers with knowledge of agent names to obtain the connection secrets for those agents, which can be used to connect to Jenkins, impersonating those agents. Jenkins versiones 2.213 y anteriores, versiones LTS 2.204.1 y anteriores, reutilizan inapropiadamente los parámetros de clave de cifrado en el Inbound TCP Agent Protocol/3, permitiendo a atacantes no autorizados con conocimiento de los nombres de los agentes obtener los secretos de conexión para esos agentes, que pueden ser usados para conectar con Jenkins , haciéndose pasar por esos agentes. • http://www.openwall.com/lists/oss-security/2020/01/29/1 https://access.redhat.com/errata/RHBA-2020:0402 https://access.redhat.com/errata/RHBA-2020:0675 https://access.redhat.com/errata/RHSA-2020:0681 https://access.redhat.com/errata/RHSA-2020:0683 https://jenkins.io/security/advisory/2020-01-29/#SECURITY-1682 • CWE-330: Use of Insufficiently Random Values •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2019-10404
https://notcve.org/view.php?id=CVE-2019-10404
Jenkins 2.196 and earlier, LTS 2.176.3 and earlier did not escape the reason why a queue items is blcoked in tooltips, resulting in a stored XSS vulnerability exploitable by users able to control parts of the reason a queue item is blocked, such as label expressions not matching any idle executors. Jenkins versiones 2.196 y anteriores, LTS versiones 2.176.3 y anteriores, no escaparon a la razón por la cual los elementos de la cola se borran en la información sobre herramientas (tooltips), resultando en una vulnerabilidad de tipo XSS almacenada explotable por parte de usuarios capaces de controlar partes de la razón por la que un elemento de la cola está bloqueado, tal y como expresiones de etiqueta que no coinciden con ningún ejecutor inactivo. • http://www.openwall.com/lists/oss-security/2019/09/25/3 https://jenkins.io/security/advisory/2019-09-25/#SECURITY-1537%20%282%29 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2019-10401
https://notcve.org/view.php?id=CVE-2019-10401
In Jenkins 2.196 and earlier, LTS 2.176.3 and earlier, the f:expandableTextBox form control interpreted its content as HTML when expanded, resulting in a stored XSS vulnerability exploitable by users with permission to define its contents (typically Job/Configure). En Jenkins versiones 2.196 y anteriores, versiones LTS 2.176.3 y anteriores, el control del formulario f:expandableTextBox interpretaba su contenido como HTML cuando se expandía, resultando en una vulnerabilidad de tipo XSS almacenada explotable por aquellos usuarios con permiso para definir su contenido (típicamente Trabajo/Configuración). • http://www.openwall.com/lists/oss-security/2019/09/25/3 https://jenkins.io/security/advisory/2019-09-25/#SECURITY-1498 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •