CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10341
https://notcve.org/view.php?id=CVE-2019-10341
A missing permission check in Jenkins Docker Plugin 1.1.6 and earlier in DockerAPI.DescriptorImpl#doTestConnection allowed users with Overall/Read access to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una falta de comprobación de permisos en el Plugin Docker versión 1.1.6 y anteriores de Jenkins en el archivo DockerAPI.DescriptorImpl#doTestConnection, permitió a los usuarios con acceso General y de Lectura conectarse a una URL especificada por el atacante utilizando IDs de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando credenciales almacenadas en Jenkins . • http://www.openwall.com/lists/oss-security/2019/07/11/4 http://www.securityfocus.com/bid/109156 https://jenkins.io/security/advisory/2019-07-11/#SECURITY-1010 • CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10342
https://notcve.org/view.php?id=CVE-2019-10342
A missing permission check in Jenkins Docker Plugin 1.1.6 and earlier in various 'fillCredentialsIdItems' methods allowed users with Overall/Read access to enumerate credentials ID of credentials stored in Jenkins. Una falta de comprobación de permisos en el Plugin Docker versión 1.1.6 y anteriores de Jenkins en varios métodos 'fillCredentialsIdItems', permitieron a los usuarios con acceso General y de Lectura enumerar los ID de credenciales almacenadas en Jenkins. • http://www.openwall.com/lists/oss-security/2019/07/11/4 http://www.securityfocus.com/bid/109156 https://jenkins.io/security/advisory/2019-07-11/#SECURITY-1400 • CWE-862: Missing Authorization •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10340
https://notcve.org/view.php?id=CVE-2019-10340
A cross-site request forgery vulnerability in Jenkins Docker Plugin 1.1.6 and earlier in DockerAPI.DescriptorImpl#doTestConnection allowed users with Overall/Read access to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una vulnerabilidad de tipo cross-site request forgery en el Plugin Docker versión 1.1.6 y anteriores de Jenkins en el archivo DockerAPI.DescriptorImpl#doTestConnection, permitió a los usuarios con acceso General y de Lectura conectarse a una URL especificada por el atacante mediante IDs de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando credenciales almacenadas en Jenkins. • http://www.openwall.com/lists/oss-security/2019/07/11/4 http://www.securityfocus.com/bid/109156 https://jenkins.io/security/advisory/2019-07-11/#SECURITY-1010 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003065
https://notcve.org/view.php?id=CVE-2019-1003065
Jenkins CloudShare Docker-Machine Plugin stores credentials unencrypted in its global configuration file on the Jenkins master where they can be viewed by users with access to the master file system. El plugin CloudShare Docker-Machine de Jenkins almacena credenciales sin cifrar en su archivo de configuración global en el servidor maestro de Jenkins donde dichas credenciales pueden ser visualizadas por los usuarios con acceso al sistema de archivos maestro. • http://www.openwall.com/lists/oss-security/2019/04/12/2 http://www.securityfocus.com/bid/107790 https://jenkins.io/security/advisory/2019-04-03/#SECURITY-838 • CWE-311: Missing Encryption of Sensitive Data •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-1000094
https://notcve.org/view.php?id=CVE-2017-1000094
Docker Commons Plugin provides a list of applicable credential IDs to allow users configuring a job to select the one they'd like to use to authenticate with a Docker Registry. This functionality did not check permissions, allowing any user with Overall/Read permission to get a list of valid credentials IDs. Those could be used as part of an attack to capture the credentials using another vulnerability. El plugin Docker Commons proporciona una lista de ID de credenciales aplicables para permitir a los usuarios configurar una tarea para que escojan la que les apetezca utilizar para autenticarse con un registro Docker. Esta funcionalidad no chequea permisos, lo que permite que cualquier usuario con permiso Overall/Read obtenga una lista de ID de credenciales válidos. • https://jenkins.io/security/advisory/2017-07-10 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •