CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24445
https://notcve.org/view.php?id=CVE-2023-24445
Jenkins OpenID Plugin 2.4 and earlier improperly determines that a redirect URL after login is legitimately pointing to Jenkins. El complemento OpenID de Jenkins en su versión 2.4 y anteriores determinan incorrectamente que una URL de redireccionamiento después de iniciar sesión apunta legítimamente a Jenkins. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2997 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003099
https://notcve.org/view.php?id=CVE-2019-1003099
A missing permission check in Jenkins openid Plugin in the OpenIdSsoSecurityRealm.DescriptorImpl#doValidate form validation method allows attackers with Overall/Read permission to initiate a connection to an attacker-specified server. La ausencia de una comprobación de permisos en el plugin openid de Jenkins, en el método de validación de formulario OpenIdSsoSecurityRealm.DescriptorImpl#doValidate, permite a los atacantes con permisos Overall/Read iniciar una conexión a un servidor especificado por el atacante. • http://www.openwall.com/lists/oss-security/2019/04/12/2 http://www.securityfocus.com/bid/107790 https://jenkins.io/security/advisory/2019-04-03/#SECURITY-1084 • CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003098
https://notcve.org/view.php?id=CVE-2019-1003098
A cross-site request forgery vulnerability in Jenkins openid Plugin in the OpenIdSsoSecurityRealm.DescriptorImpl#doValidate form validation method allows attackers to initiate a connection to an attacker-specified server. Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin openid Jenkins, en el método de validación de formulario OpenIdSsoSecurityRealm.DescriptorImpl#doValidat, permite a los atacantes iniciar una conexión a un servidor especificado por el atacante. • http://www.openwall.com/lists/oss-security/2019/04/12/2 http://www.securityfocus.com/bid/107790 https://jenkins.io/security/advisory/2019-04-03/#SECURITY-1084 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003021
https://notcve.org/view.php?id=CVE-2019-1003021
An exposure of sensitive information vulnerability exists in Jenkins OpenId Connect Authentication Plugin 1.4 and earlier in OicSecurityRealm/config.jelly that allows attackers able to view a Jenkins administrator's web browser output, or control the browser (e.g. malicious extension) to retrieve the configured client secret. Existe una vulnerabilidad de exposición de información sensible en Jenkins OpenId Connect Authentication Plugin, en versiones 1.4 y anteriores, en OicSecurityRealm/config.jelly, que permite que los atacantes que puedan ver la salida del navegador web de un administrador de Jenkins o controlar el navegador (por ejemplo, mediante una extensión maliciosa) para recuperar el secreto del cliente configurado. • https://jenkins.io/security/advisory/2019-01-28/#SECURITY-886 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •