CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1000410
https://notcve.org/view.php?id=CVE-2018-1000410
An information exposure vulnerability exists in Jenkins 2.145 and earlier, LTS 2.138.1 and earlier, and the Stapler framework used by these releases, in core/src/main/java/org/kohsuke/stapler/RequestImpl.java, core/src/main/java/hudson/model/Descriptor.java that allows attackers with Overall/Administer permission or access to the local file system to obtain credentials entered by users if the form submission could not be successfully processed. Una vulnerabilidad de exposición de información existe en Jenkins, en sus versiones 2.145 y anteriores y con la versión de firmware LTS 2.138.1 y anteriores, y el marco de Stapler utilizado por estas distribuciones, en core/src/main/java/org/kohsuke/stapler/RequestImpl.java y core/src/main/java/hudson/model/Descriptor.java que permite a los atacantes, con permisos de "Overall/Administer" o acceso al sistema de archivos local, obtener las credenciales introducidas por los usuarios si envío del formulario no se ha procesado con éxito. • http://www.securityfocus.com/bid/106532 https://jenkins.io/security/advisory/2018-10-10/#SECURITY-765 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1000409
https://notcve.org/view.php?id=CVE-2018-1000409
A session fixation vulnerability exists in Jenkins 2.145 and earlier, LTS 2.138.1 and earlier in core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java that prevented Jenkins from invalidating the existing session and creating a new one when a user signed up for a new user account. Una vulnerabilidad de fijación de sesión existe en Jenkins, en sus versiones 2.145 y anteriores con la versión de firmware LTS 2.138.1 y anteriores, en core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java que prevenía que Jenkins invalidara la sesión existente haciendo que se creara una nueva cuando un usuario se daba de alta en una nueva cuenta. • http://www.securityfocus.com/bid/106532 https://jenkins.io/security/advisory/2018-10-10/#SECURITY-1158 • CWE-384: Session Fixation •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1000407
https://notcve.org/view.php?id=CVE-2018-1000407
A cross-site scripting vulnerability exists in Jenkins 2.145 and earlier, LTS 2.138.1 and earlier in core/src/main/java/hudson/model/Api.java that allows attackers to specify URLs to Jenkins that result in rendering arbitrary attacker-controlled HTML by Jenkins. Una vulnerabilidad de Cross-Site Scripting (XSS) existe en Jenkins 2.145 y anteriores, con la versión de firmware LTS 2.138.1, en core/src/main/java/hudson/model/Api.java que permite a los atacantes especificar URL en Jenkins que resulten en la renderización de HTML arbitrario controlado por el atacante en Jenkins. • http://www.securityfocus.com/bid/106532 https://jenkins.io/security/advisory/2018-10-10/#SECURITY-1129 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.2EPSS: 0%CPEs: 3EXPL: 1CVE-2018-1000863
https://notcve.org/view.php?id=CVE-2018-1000863
A data modification vulnerability exists in Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in User.java, IdStrategy.java that allows attackers to submit crafted user names that can cause an improper migration of user record storage formats, potentially preventing the victim from logging into Jenkins. Existe una vulnerabilidad de modificación de datos en Jenkins en versiones 2.153 y anteriores, y LTS 2.138.3 y anteriores en User.java e IdStrategy.java que permite que los atacantes envíen nombres de usuario manipulados que pueden provocar la mitigación incorrecta de formatos de almacenamiento de registros de usuario, lo que podría evitar que la víctima inicie sesión en Jenkins. • http://www.securityfocus.com/bid/106176 https://access.redhat.com/errata/RHBA-2019:0024 https://jenkins.io/security/advisory/2018-12-05/#SECURITY-1072 https://www.tenable.com/security/research/tra-2018-43 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2018-1000862
https://notcve.org/view.php?id=CVE-2018-1000862
An information exposure vulnerability exists in Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in DirectoryBrowserSupport.java that allows attackers with the ability to control build output to browse the file system on agents running builds beyond the duration of the build using the workspace browser. Existe una vulnerabilidad de exposición de información en Jenkins en versiones 2.153 y anteriores, y LTS 2.138.3 y anteriores en DirectoryBrowserSupport.java que permite que los atacantes con habilidad para controlar la salida de las builds naveguen por el sistema de archivos en los agentes que ejecutan builds más allá de la duración de la build empleando el navegador del espacio de trabajo. • http://www.securityfocus.com/bid/106176 https://access.redhat.com/errata/RHBA-2019:0024 https://jenkins.io/security/advisory/2018-12-05/#SECURITY-904 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •