CVSS: 5.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1000409
https://notcve.org/view.php?id=CVE-2018-1000409
A session fixation vulnerability exists in Jenkins 2.145 and earlier, LTS 2.138.1 and earlier in core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java that prevented Jenkins from invalidating the existing session and creating a new one when a user signed up for a new user account. Una vulnerabilidad de fijación de sesión existe en Jenkins, en sus versiones 2.145 y anteriores con la versión de firmware LTS 2.138.1 y anteriores, en core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java que prevenía que Jenkins invalidara la sesión existente haciendo que se creara una nueva cuando un usuario se daba de alta en una nueva cuenta. • http://www.securityfocus.com/bid/106532 https://jenkins.io/security/advisory/2018-10-10/#SECURITY-1158 • CWE-384: Session Fixation •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1000407
https://notcve.org/view.php?id=CVE-2018-1000407
A cross-site scripting vulnerability exists in Jenkins 2.145 and earlier, LTS 2.138.1 and earlier in core/src/main/java/hudson/model/Api.java that allows attackers to specify URLs to Jenkins that result in rendering arbitrary attacker-controlled HTML by Jenkins. Una vulnerabilidad de Cross-Site Scripting (XSS) existe en Jenkins 2.145 y anteriores, con la versión de firmware LTS 2.138.1, en core/src/main/java/hudson/model/Api.java que permite a los atacantes especificar URL en Jenkins que resulten en la renderización de HTML arbitrario controlado por el atacante en Jenkins. • http://www.securityfocus.com/bid/106532 https://jenkins.io/security/advisory/2018-10-10/#SECURITY-1129 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.2EPSS: 0%CPEs: 3EXPL: 1CVE-2018-1000863
https://notcve.org/view.php?id=CVE-2018-1000863
A data modification vulnerability exists in Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in User.java, IdStrategy.java that allows attackers to submit crafted user names that can cause an improper migration of user record storage formats, potentially preventing the victim from logging into Jenkins. Existe una vulnerabilidad de modificación de datos en Jenkins en versiones 2.153 y anteriores, y LTS 2.138.3 y anteriores en User.java e IdStrategy.java que permite que los atacantes envíen nombres de usuario manipulados que pueden provocar la mitigación incorrecta de formatos de almacenamiento de registros de usuario, lo que podría evitar que la víctima inicie sesión en Jenkins. • http://www.securityfocus.com/bid/106176 https://access.redhat.com/errata/RHBA-2019:0024 https://jenkins.io/security/advisory/2018-12-05/#SECURITY-1072 https://www.tenable.com/security/research/tra-2018-43 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2018-1000862
https://notcve.org/view.php?id=CVE-2018-1000862
An information exposure vulnerability exists in Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in DirectoryBrowserSupport.java that allows attackers with the ability to control build output to browse the file system on agents running builds beyond the duration of the build using the workspace browser. Existe una vulnerabilidad de exposición de información en Jenkins en versiones 2.153 y anteriores, y LTS 2.138.3 y anteriores en DirectoryBrowserSupport.java que permite que los atacantes con habilidad para controlar la salida de las builds naveguen por el sistema de archivos en los agentes que ejecutan builds más allá de la duración de la build empleando el navegador del espacio de trabajo. • http://www.securityfocus.com/bid/106176 https://access.redhat.com/errata/RHBA-2019:0024 https://jenkins.io/security/advisory/2018-12-05/#SECURITY-904 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2018-1000864
https://notcve.org/view.php?id=CVE-2018-1000864
A denial of service vulnerability exists in Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in CronTab.java that allows attackers with Overall/Read permission to have a request handling thread enter an infinite loop. Existe una vulnerabilidad de denegación de servicio (DoS) en Jenkins 2.153 y anteriores y 2.138.3 y anteriores en CronTab.java que permite que los atacantes con el permiso Overall/Read hagan que un hilo de manejo de peticiones entre en bucle infinito. • http://www.securityfocus.com/bid/106176 https://access.redhat.com/errata/RHBA-2019:0024 https://jenkins.io/security/advisory/2018-12-05/#SECURITY-1193 • CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') •