CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24442
https://notcve.org/view.php?id=CVE-2023-24442
Jenkins GitHub Pull Request Coverage Status Plugin 2.2.0 and earlier stores the GitHub Personal Access Token, Sonar access token and Sonar password unencrypted in its global configuration file on the Jenkins controller where they can be viewed by users with access to the Jenkins controller file system. El complemento GitHub Pull Request Coverage Status de Jenkins en su versión 2.2.0 y anteriores almacena el token de acceso personal de GitHub, el token de acceso de Sonar y la contraseña de Sonar sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde los usuarios con acceso al sistema de archivos del controlador de Jenkins pueden verlos. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2767 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24436
https://notcve.org/view.php?id=CVE-2023-24436
A missing permission check in Jenkins GitHub Pull Request Builder Plugin 1.42.2 and earlier allows attackers with Overall/Read permission to enumerate credentials IDs of credentials stored in Jenkins. Una verificación de permiso faltante en el complemento GitHub Pull Request Builder de Jenkins en su versión 1.42.2 y anteriores permite a atacantes con permiso general/lectura enumerar los ID de las credenciales almacenadas en Jenkins. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2789%20%281%29 • CWE-862: Missing Authorization •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24434
https://notcve.org/view.php?id=CVE-2023-24434
A cross-site request forgery (CSRF) vulnerability in Jenkins GitHub Pull Request Builder Plugin 1.42.2 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento GitHub Pull Request Builder de Jenkins en su versión 1.42.2 y anteriores permite a los atacantes conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2789%20%282%29 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-36885 – plugin: Non-constant time webhook signature comparison in GitHub Plugin
https://notcve.org/view.php?id=CVE-2022-36885
Jenkins GitHub Plugin 1.34.4 and earlier uses a non-constant time comparison function when checking whether the provided and computed webhook signatures are equal, allowing attackers to use statistical methods to obtain a valid webhook signature. Jenkins GitHub Plugin versiones v1.34.4 y anteriores, usa una función de comparación de tiempo no constante cuando comprueba si las firmas de webhooks proporcionadas y calculadas son iguales, permitiendo a atacantes usar métodos estadísticos para obtener una firma de webhook válida • http://www.openwall.com/lists/oss-security/2022/07/27/1 https://www.jenkins.io/security/advisory/2022-07-27/#SECURITY-1849 https://access.redhat.com/security/cve/CVE-2022-36885 https://bugzilla.redhat.com/show_bug.cgi?id=2119658 • CWE-203: Observable Discrepancy CWE-208: Observable Timing Discrepancy •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-2212
https://notcve.org/view.php?id=CVE-2020-2212
Jenkins GitHub Coverage Reporter Plugin 1.8 and earlier stores secrets unencrypted in its global configuration file on the Jenkins master where they can be viewed by users with access to the master file system or read permissions on the system configuration. Jenkins GitHub Coverage Reporter Plugin versiones 1.8 y anteriores, almacenan secretos sin cifrar en su archivo de configuración global en el maestro de Jenkins, donde pueden ser visualizados por usuarios con acceso al sistema de archivos maestro o permisos de lectura en la configuración del sistema • http://www.openwall.com/lists/oss-security/2020/07/02/7 https://jenkins.io/security/advisory/2020-07-02/#SECURITY-1632 • CWE-522: Insufficiently Protected Credentials •