Page 25 of 236 results (0.009 seconds)

CVSS: 7.5EPSS: 6%CPEs: 3EXPL: 3

A arbitrary file read vulnerability exists in Jenkins 2.132 and earlier, 2.121.1 and earlier in the Stapler web framework's org/kohsuke/stapler/Stapler.java that allows attackers to send crafted HTTP requests returning the contents of any file on the Jenkins master file system that the Jenkins master has access to. Existe una lectura de archivos arbitrarios en Jenkins en versiones 2.132 y anteriores y en versiones 2.121.1 y anteriores en el org/kohsuke/stapler/Stapler.java del framework web Staple. Este permite que los atacantes envíen peticiones HTTP manipuladas que devuelven el contenido de cualquier archivo del sistema de archivos maestro de Jenkins al que el programa puede acceder. Jenkins plugins Script Security version 1.49, Declarative version 1.3.4, and Groovy version 2.60 suffer from a code execution vulnerability. • https://www.exploit-db.com/exploits/46453 https://github.com/slowmistio/CVE-2019-1003000-and-CVE-2018-1999002-Pre-Auth-RCE-Jenkins https://github.com/0x6b7966/CVE-2018-1999002 https://jenkins.io/security/advisory/2018-07-18/#SECURITY-914 https://www.oracle.com/security-alerts/cpuapr2022.html •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A server-side request forgery vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in ZipExtractionInstaller.java that allows users with Overall/Read permission to have Jenkins submit a HTTP GET request to an arbitrary URL and learn whether the response is successful (200) or not. Existe una vulnerabilidad Server-Side Request Forgery en Jenkins 2.120 y versiones anteriores y LTS 2.107.2 y versiones anteriores en ZipExtractionInstaller.java que permite a los usuarios con permiso Overall/Read que hagan que Jenkins envíe una solicitud HTTP GET a un URL arbitrario y averigüe si la respuesta es correcta (200) o no. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-794 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A information exposure vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in AboutJenkins.java, ListPluginsCommand.java that allows users with Overall/Read access to enumerate all installed plugins. Existe una vulnerabilidad de exposición de información en Jenkins 2.120 y versiones anteriores, LTS 2.107.2 y versiones anteriores en AboutJenkins.java y ListPluginsCommand.java que permite a los usuarios con acceso Overall/Read enumerar todos los plugins instalados. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-771 https://www.oracle.com/security-alerts/cpuapr2022.html •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A improper neutralization of control sequences vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in HudsonPrivateSecurityRealm.java that allows users to sign up using user names containing control characters that can then appear to have the same name as other users, and cannot be deleted via the UI. Existe una vulnerabilidad de neutralización inadecuada de las secuencias de control en Jenkins 2.120 y versiones anteriores y LTS 2.107.2 y versiones anteriores en HudsonPrivateSecurityRealm.java que permite a los usuarios registrarse utilizando nombres de usuario que contienen caracteres de control que pueden parecer tener el mismo nombre que otros usuarios y que no se pueden eliminar a través de la interfaz de usuario. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-786 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •

CVSS: 8.1EPSS: 0%CPEs: 3EXPL: 0

A path traversal vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in FilePath.java, SoloFilePathFilter.java that allows malicious agents to read and write arbitrary files on the Jenkins master, bypassing the agent-to-master security subsystem protection. Existe una vulnerabilidad de salto de directorio en Jenkins 2.120 y versiones anteriores y LTS 2.107.2 y versiones anteriores en FilePath.java y SoloFilePathFilter.java que permite a los agentes maliciosos leer y escribir archivos arbitrarios en el maestro Jenkins, evitando la protección del subsistema de seguridad de agente a maestro. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-788 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •