CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1999042
https://notcve.org/view.php?id=CVE-2018-1999042
A vulnerability exists in Jenkins 2.137 and earlier, 2.121.2 and earlier in XStream2.java that allows attackers to have Jenkins resolve a domain name when deserializing an instance of java.net.URL. Existe una vulnerabilidad en Jenkins en versiones 2.137 y anteriores y 2.121.2 y anteriores en XStream2.java que permite que los atacantes hagan que Jenkins resuelva un nombre de dominio cuando se deserializa una instancia de java.net.URL. • https://jenkins.io/security/advisory/2018-08-15/#SECURITY-637 • CWE-502: Deserialization of Untrusted Data •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1999043
https://notcve.org/view.php?id=CVE-2018-1999043
A denial of service vulnerability exists in Jenkins 2.137 and earlier, 2.121.2 and earlier in BasicAuthenticationFilter.java, BasicHeaderApiTokenAuthenticator.java that allows attackers to create ephemeral in-memory user records by attempting to log in using invalid credentials. Existe una vulnerabilidad de denegación de servicio (DoS) en Jenkins en versiones 2.137 y anteriores y 2.121.2 y anteriores en BasicAuthenticationFilter.java, BasicHeaderApiTokenAuthenticator.java que permite que los atacantes creen registros de usuario efímeros en la memoria intentando iniciar sesión con credenciales no válidas. • https://jenkins.io/security/advisory/2018-08-15/#SECURITY-672 • CWE-772: Missing Release of Resource after Effective Lifetime •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-1999044
https://notcve.org/view.php?id=CVE-2018-1999044
A denial of service vulnerability exists in Jenkins 2.137 and earlier, 2.121.2 and earlier in CronTab.java that allows attackers with Overall/Read permission to have a request handling thread enter an infinite loop. Existe una vulnerabilidad de denegación de servicio (DoS) en Jenkins en versiones 2.137 y anteriores y 2.121.2 y anteriores en CronTab.java que permite que los atacantes con permiso Overall/Read hagan que un hilo de gestión de peticiones se meta en un bucle infinito. • https://jenkins.io/security/advisory/2018-08-15/#SECURITY-790 • CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2018-1999005
https://notcve.org/view.php?id=CVE-2018-1999005
A cross-site scripting vulnerability exists in Jenkins 2.132 and earlier, 2.121.1 and earlier in BuildTimelineWidget.java, BuildTimelineWidget/control.jelly that allows attackers with Job/Configure permission to define JavaScript that would be executed in another user's browser when that other user performs some UI actions. Existe una vulnerabilidad de Cross-Site Scripting (XSS), en Jenkins 2.132 y anteriores y 2.121.1 y anteriores, en BuildTimelineWidget.java y BuildTimelineWidget/control.jelly, que permite que atacantes con permisos Job/Configure definan JavaScript que se ejecutaría en el navegador de otro usuario cuando ese usuario realiza acciones en la interfaz de usuario. • https://jenkins.io/security/advisory/2018-07-18/#SECURITY-944 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-1999001
https://notcve.org/view.php?id=CVE-2018-1999001
A unauthorized modification of configuration vulnerability exists in Jenkins 2.132 and earlier, 2.121.1 and earlier in User.java that allows attackers to provide crafted login credentials that cause Jenkins to move the config.xml file from the Jenkins home directory. If Jenkins is started without this file present, it will revert to the legacy defaults of granting administrator access to anonymous users. Existe una vulnerabilidad de modificación no autorizada de configuración en Jenkins en versiones 2.132 y anteriores y en versiones 2.121.1 y anteriores en User.java que permite que los atacantes proporcionen credenciales de inicio de sesión manipuladas que provocan que Jenkins mueva el archivo config.xml desde el directorio raíz de Jenkins. Si se inicia Jenkins sin este archivo, el programa volverá a la opción por defecto de dar acceso de administrador a los usuarios anónimos. • https://jenkins.io/security/advisory/2018-07-18/#SECURITY-897 https://www.oracle.com/security-alerts/cpuapr2022.html •