CVE-2017-2600
https://notcve.org/view.php?id=CVE-2017-2600
In jenkins before versions 2.44, 2.32.2 node monitor data could be viewed by low privilege users via the remote API. These included system configuration and runtime information of these nodes (SECURITY-343). En Jenkins en versiones anteriores a la 2.44 y 2.32.2, los usuarios con privilegios bajos podrían visualizar los datos del monitor de nodos mediante la API remota. Estos datos incluyen la configuración del sistema y la información de arranque de estos nodos (SECURITY-343). • http://www.securityfocus.com/bid/95954 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2600 https://github.com/jenkinsci/jenkins/commit/0f92cd08a19207de2cceb6a2f4e3e9f92fdc0899 https://jenkins.io/security/advisory/2017-02-01 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-325: Missing Cryptographic Step •
CVE-2017-2601
https://notcve.org/view.php?id=CVE-2017-2601
Jenkins before versions 2.44, 2.32.2 is vulnerable to a persisted cross-site scripting in parameter names and descriptions (SECURITY-353). Users with the permission to configure jobs were able to inject JavaScript into parameter names and descriptions. Jenkins en versiones anteriores a la 2.44, 2.32.2 es vulnerable a Cross-Site Scripting (XSS) persistente en nombres y descripciones de parámetros (SECURITY-353). Los usuarios con el permiso para configurar jobs pudieron inyectar JavaScript en nombres y descripciones de parámetro. • http://www.openwall.com/lists/oss-security/2022/04/12/5 http://www.openwall.com/lists/oss-security/2022/05/17/8 http://www.openwall.com/lists/oss-security/2022/06/22/3 http://www.openwall.com/lists/oss-security/2022/06/30/3 http://www.openwall.com/lists/oss-security/2022/10/19/3 http://www.securityfocus.com/bid/95960 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2601 https://github.com/jenkinsci/jenkins/commit/fd2e081b947124c90bcd97bfc55e1a7f2ef41a74 https • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-2606
https://notcve.org/view.php?id=CVE-2017-2606
Jenkins before versions 2.44, 2.32.2 is vulnerable to an information exposure in the internal API that allows access to item names that should not be visible (SECURITY-380). This only affects anonymous users (other users legitimately have access) that were able to get a list of items via an UnprotectedRootAction. Jenkins en versiones anteriores a la 2.44, 2.32.2 es vulnerable a una exposición de información en la API interna que permite el acceso a los nombres de los elementos que no deberían ser visibles (SECURITY-380). Esto solo afecta a los usuarios anónimos (otros usuarios tienen acceso legítimo) que podrían obtener una lista de los elementos mediante un UnprotectedRootAction. • http://www.securityfocus.com/bid/95962 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2606 https://github.com/jenkinsci/jenkins/commit/09cfbc9cd5c9df7c763bc976b7f5c51266b63719 https://jenkins.io/security/advisory/2017-02-01 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2017-2611
https://notcve.org/view.php?id=CVE-2017-2611
Jenkins before versions 2.44, 2.32.2 is vulnerable to an insufficient permission check for periodic processes (SECURITY-389). The URLs /workspaceCleanup and /fingerprintCleanup did not perform permission checks, allowing users with read access to Jenkins to trigger these background processes (that are otherwise performed daily), possibly causing additional load on Jenkins master and agents. Jenkins en versiones anteriores a la 2.44, 2.32.2 es vulnerable a una exposición de información en la API interna que permite el acceso a los nombres de los elementos que no deberían ser visibles (SECURITY-380). Esto solo afecta a los usuarios anónimos (otros usuarios tienen acceso legítimo) que podrían obtener una lista de los elementos mediante un UnprotectedRootAction. • http://www.securityfocus.com/bid/95956 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-2611 https://github.com/jenkinsci/jenkins/commit/97a61a9fe55f4c16168c123f98301a5173b9fa86 https://jenkins.io/security/advisory/2017-02-01 • CWE-358: Improperly Implemented Security Check for Standard CWE-863: Incorrect Authorization •
CVE-2018-1000170
https://notcve.org/view.php?id=CVE-2018-1000170
A cross-site scripting vulnerability exists in Jenkins 2.115 and older, LTS 2.107.1 and older, in confirmationList.jelly and stopButton.jelly that allows attackers with Job/Configure and/or Job/Create permission to create an item name containing JavaScript that would be executed in another user's browser when that other user performs some UI actions. Existe una vulnerabilidad de Cross-Site Scripting (XSS) en Jenkins 2.115 y anteriores y LTS 2.107.1 y anteriores, en confirmationList.jelly y stopButton.jelly, que permite que atacantes con permisos Job/Configure y/o Job/Create creen un nombre de item que contenga JavaScript, que se ejecutaría en el navegador de otro usuario cuando este ejecute algunas acciones de la interfaz de usuario. • https://jenkins.io/security/advisory/2018-04-11/#SECURITY-759 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •