Page 25 of 233 results (0.013 seconds)

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A server-side request forgery vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in ZipExtractionInstaller.java that allows users with Overall/Read permission to have Jenkins submit a HTTP GET request to an arbitrary URL and learn whether the response is successful (200) or not. Existe una vulnerabilidad Server-Side Request Forgery en Jenkins 2.120 y versiones anteriores y LTS 2.107.2 y versiones anteriores en ZipExtractionInstaller.java que permite a los usuarios con permiso Overall/Read que hagan que Jenkins envíe una solicitud HTTP GET a un URL arbitrario y averigüe si la respuesta es correcta (200) o no. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-794 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-352: Cross-Site Request Forgery (CSRF) •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A information exposure vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in AboutJenkins.java, ListPluginsCommand.java that allows users with Overall/Read access to enumerate all installed plugins. Existe una vulnerabilidad de exposición de información en Jenkins 2.120 y versiones anteriores, LTS 2.107.2 y versiones anteriores en AboutJenkins.java y ListPluginsCommand.java que permite a los usuarios con acceso Overall/Read enumerar todos los plugins instalados. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-771 https://www.oracle.com/security-alerts/cpuapr2022.html •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A improper neutralization of control sequences vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in HudsonPrivateSecurityRealm.java that allows users to sign up using user names containing control characters that can then appear to have the same name as other users, and cannot be deleted via the UI. Existe una vulnerabilidad de neutralización inadecuada de las secuencias de control en Jenkins 2.120 y versiones anteriores y LTS 2.107.2 y versiones anteriores en HudsonPrivateSecurityRealm.java que permite a los usuarios registrarse utilizando nombres de usuario que contienen caracteres de control que pueden parecer tener el mismo nombre que otros usuarios y que no se pueden eliminar a través de la interfaz de usuario. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-786 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •

CVSS: 8.1EPSS: 0%CPEs: 3EXPL: 0

A path traversal vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in FilePath.java, SoloFilePathFilter.java that allows malicious agents to read and write arbitrary files on the Jenkins master, bypassing the agent-to-master security subsystem protection. Existe una vulnerabilidad de salto de directorio en Jenkins 2.120 y versiones anteriores y LTS 2.107.2 y versiones anteriores en FilePath.java y SoloFilePathFilter.java que permite a los agentes maliciosos leer y escribir archivos arbitrarios en el maestro Jenkins, evitando la protección del subsistema de seguridad de agente a maestro. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-788 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

Jenkins before versions 2.44, 2.32.2 uses AES ECB block cipher mode without IV for encrypting secrets which makes Jenkins and the stored secrets vulnerable to unnecessary risks (SECURITY-304). Jenkins en versiones anteriores a la 2.44 y la 2.32.2 emplea el modo de cifrado en bloque AES ECB sin IV para cifrar secretos, lo que hace que Jenkins y los secretos almacenados sean vulnerables a riesgos innecesarios (SECURITY-304). • http://www.securityfocus.com/bid/95948 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2598 https://github.com/jenkinsci/jenkins/commit/e6aa166246d1734f4798a9e31f78842f4c85c28b https://jenkins.io/security/advisory/2017-02-01 • CWE-325: Missing Cryptographic Step CWE-326: Inadequate Encryption Strength •