Page 25 of 237 results (0.008 seconds)

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A Improper authorization vulnerability exists in Jenkins 2.132 and earlier, 2.121.1 and earlier in SlaveComputer.java that allows attackers with Overall/Read permission to initiate agent launches, and abort in-progress agent launches. Existe una vulnerabilidad de autorización incorrecta en Jenkins 2.132 y anteriores y 2.121.1 y anteriores en SlaveComputer.java que permite que los atacantes con el permiso Overall/Read inicien el arranque de los agentes y aborten el arranque en proceso de los agentes. • https://jenkins.io/security/advisory/2018-07-18/#SECURITY-892 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-863: Incorrect Authorization •

CVSS: 7.5EPSS: 6%CPEs: 3EXPL: 3

A arbitrary file read vulnerability exists in Jenkins 2.132 and earlier, 2.121.1 and earlier in the Stapler web framework's org/kohsuke/stapler/Stapler.java that allows attackers to send crafted HTTP requests returning the contents of any file on the Jenkins master file system that the Jenkins master has access to. Existe una lectura de archivos arbitrarios en Jenkins en versiones 2.132 y anteriores y en versiones 2.121.1 y anteriores en el org/kohsuke/stapler/Stapler.java del framework web Staple. Este permite que los atacantes envíen peticiones HTTP manipuladas que devuelven el contenido de cualquier archivo del sistema de archivos maestro de Jenkins al que el programa puede acceder. Jenkins plugins Script Security version 1.49, Declarative version 1.3.4, and Groovy version 2.60 suffer from a code execution vulnerability. • https://www.exploit-db.com/exploits/46453 https://github.com/slowmistio/CVE-2019-1003000-and-CVE-2018-1999002-Pre-Auth-RCE-Jenkins https://github.com/0x6b7966/CVE-2018-1999002 https://jenkins.io/security/advisory/2018-07-18/#SECURITY-914 https://www.oracle.com/security-alerts/cpuapr2022.html •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A server-side request forgery vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in ZipExtractionInstaller.java that allows users with Overall/Read permission to have Jenkins submit a HTTP GET request to an arbitrary URL and learn whether the response is successful (200) or not. Existe una vulnerabilidad Server-Side Request Forgery en Jenkins 2.120 y versiones anteriores y LTS 2.107.2 y versiones anteriores en ZipExtractionInstaller.java que permite a los usuarios con permiso Overall/Read que hagan que Jenkins envíe una solicitud HTTP GET a un URL arbitrario y averigüe si la respuesta es correcta (200) o no. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-794 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A information exposure vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in AboutJenkins.java, ListPluginsCommand.java that allows users with Overall/Read access to enumerate all installed plugins. Existe una vulnerabilidad de exposición de información en Jenkins 2.120 y versiones anteriores, LTS 2.107.2 y versiones anteriores en AboutJenkins.java y ListPluginsCommand.java que permite a los usuarios con acceso Overall/Read enumerar todos los plugins instalados. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-771 https://www.oracle.com/security-alerts/cpuapr2022.html •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A improper neutralization of control sequences vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in HudsonPrivateSecurityRealm.java that allows users to sign up using user names containing control characters that can then appear to have the same name as other users, and cannot be deleted via the UI. Existe una vulnerabilidad de neutralización inadecuada de las secuencias de control en Jenkins 2.120 y versiones anteriores y LTS 2.107.2 y versiones anteriores en HudsonPrivateSecurityRealm.java que permite a los usuarios registrarse utilizando nombres de usuario que contienen caracteres de control que pueden parecer tener el mismo nombre que otros usuarios y que no se pueden eliminar a través de la interfaz de usuario. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-786 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •