Page 21 of 233 results (0.003 seconds)

CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0

CVE-2018-1000406

https://notcve.org/view.php?id=CVE-2018-1000406

A path traversal vulnerability exists in Jenkins 2.145 and earlier, LTS 2.138.1 and earlier in core/src/main/java/hudson/model/FileParameterValue.java that allows attackers with Job/Configure permission to define a file parameter with a file name outside the intended directory, resulting in an arbitrary file write on the Jenkins master when scheduling a build. Una vulnerabilidad de salto de directorio existe en Jenkins, en sus versiones 2.145 y anteriores LTS 2.138.1 y anteriores, en core/src/main/java/hudson/model/FileParameterValue.java que permite a los atacantes con permisos de "Job/Configure" para definir un parámetro de archivo con un nombre de archivo fuera del directorio intencionado, conduciendo a la escritura de archivos arbitrarios en el maestro de Jenkins cuando se programa un build. • http://www.securityfocus.com/bid/106532 https://jenkins.io/security/advisory/2018-10-10/#SECURITY-1074 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0

CVE-2018-1000407

https://notcve.org/view.php?id=CVE-2018-1000407

A cross-site scripting vulnerability exists in Jenkins 2.145 and earlier, LTS 2.138.1 and earlier in core/src/main/java/hudson/model/Api.java that allows attackers to specify URLs to Jenkins that result in rendering arbitrary attacker-controlled HTML by Jenkins. Una vulnerabilidad de Cross-Site Scripting (XSS) existe en Jenkins 2.145 y anteriores, con la versión de firmware LTS 2.138.1, en core/src/main/java/hudson/model/Api.java que permite a los atacantes especificar URL en Jenkins que resulten en la renderización de HTML arbitrario controlado por el atacante en Jenkins. • http://www.securityfocus.com/bid/106532 https://jenkins.io/security/advisory/2018-10-10/#SECURITY-1129 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.8EPSS: 0%CPEs: 2EXPL: 0

CVE-2018-1000409

https://notcve.org/view.php?id=CVE-2018-1000409

A session fixation vulnerability exists in Jenkins 2.145 and earlier, LTS 2.138.1 and earlier in core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java that prevented Jenkins from invalidating the existing session and creating a new one when a user signed up for a new user account. Una vulnerabilidad de fijación de sesión existe en Jenkins, en sus versiones 2.145 y anteriores con la versión de firmware LTS 2.138.1 y anteriores, en core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java que prevenía que Jenkins invalidara la sesión existente haciendo que se creara una nueva cuando un usuario se daba de alta en una nueva cuenta. • http://www.securityfocus.com/bid/106532 https://jenkins.io/security/advisory/2018-10-10/#SECURITY-1158 • CWE-384: Session Fixation •

CVSS: 8.2EPSS: 0%CPEs: 3EXPL: 1

CVE-2018-1000863

https://notcve.org/view.php?id=CVE-2018-1000863

A data modification vulnerability exists in Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in User.java, IdStrategy.java that allows attackers to submit crafted user names that can cause an improper migration of user record storage formats, potentially preventing the victim from logging into Jenkins. Existe una vulnerabilidad de modificación de datos en Jenkins en versiones 2.153 y anteriores, y LTS 2.138.3 y anteriores en User.java e IdStrategy.java que permite que los atacantes envíen nombres de usuario manipulados que pueden provocar la mitigación incorrecta de formatos de almacenamiento de registros de usuario, lo que podría evitar que la víctima inicie sesión en Jenkins. • http://www.securityfocus.com/bid/106176 https://access.redhat.com/errata/RHBA-2019:0024 https://jenkins.io/security/advisory/2018-12-05/#SECURITY-1072 https://www.tenable.com/security/research/tra-2018-43 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 10.0EPSS: 97%CPEs: 3EXPL: 2

CVE-2018-1000861 – Jenkins Stapler Web Framework Deserialization of Untrusted Data Vulnerability

https://notcve.org/view.php?id=CVE-2018-1000861

A code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java that allows attackers to invoke some methods on Java objects by accessing crafted URLs that were not intended to be invoked this way. Existe una vulnerabilidad de ejecución de código en el framework web de Stapler empleando por Jenkins en versiones 2.153 y anteriores, y LTS 2.138.3 y anteriores en stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java que permite que los atacantes invoquen algunos métodos sobre objetos Java mediante el acceso a URL manipuladas que no deberían invocarse de esta forma. A code execution vulnerability exists in the Stapler web framework used by Jenkins • https://github.com/orangetw/awesome-jenkins-rce-2019 https://github.com/smokeintheshell/CVE-2018-1000861 http://packetstormsecurity.com/files/166778/Jenkins-Remote-Code-Execution.html http://www.securityfocus.com/bid/106176 https://access.redhat.com/errata/RHBA-2019:0024 https://jenkins.io/security/advisory/2018-12-05/#SECURITY-595 https://jenkins.io/security/advisory/2019-01-08 https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.html https://blog.orange • CWE-502: Deserialization of Untrusted Data •