CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-2118
https://notcve.org/view.php?id=CVE-2020-2118
A missing permission check in Jenkins Pipeline GitHub Notify Step Plugin 1.0.4 and earlier in form-related methods allowed users with Overall/Read access to enumerate credentials ID of credentials stored in Jenkins. Una falta de comprobación de permiso en Jenkins Pipeline GitHub Notify Step Plugin versiones 1.0.4 y anteriores, en métodos relacionados con formularios permitió a usuarios con acceso General y de Lectura enumerar ID de credenciales almacenadas en Jenkins. • http://www.openwall.com/lists/oss-security/2020/02/12/3 https://jenkins.io/security/advisory/2020-02-12/#SECURITY-812%20%282%29 • CWE-276: Incorrect Default Permissions •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-2117
https://notcve.org/view.php?id=CVE-2020-2117
A missing permission check in Jenkins Pipeline GitHub Notify Step Plugin 1.0.4 and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una falta de comprobación de permiso en Jenkins Pipeline GitHub Notify Step Plugin versiones 1.0.4 y anteriores, permite a atacantes con permiso Overall/Read conectar con una URL especificada por el atacante usando ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando las credenciales almacenadas en Jenkins. • http://www.openwall.com/lists/oss-security/2020/02/12/3 https://jenkins.io/security/advisory/2020-02-12/#SECURITY-812%20%281%29 • CWE-276: Incorrect Default Permissions •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2020-2116
https://notcve.org/view.php?id=CVE-2020-2116
A cross-site request forgery vulnerability in Jenkins Pipeline GitHub Notify Step Plugin 1.0.4 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una vulnerabilidad de tipo cross-site request forgery en Jenkins Pipeline GitHub Notify Step Plugin versiones 1.0.4 y anteriores, permite a atacantes conectar con una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando las credenciales almacenadas en Jenkins. • http://www.openwall.com/lists/oss-security/2020/02/12/3 https://jenkins.io/security/advisory/2020-02-12/#SECURITY-812%20%281%29 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10315
https://notcve.org/view.php?id=CVE-2019-10315
Jenkins GitHub Authentication Plugin 0.31 and earlier did not use the state parameter of OAuth to prevent CSRF. Jenkins GitHub Authentication Plugin versión 0.31 y anteriores no usa el parámetro de estado de OAuth para prevenirse de un ataque CSRF. • http://www.openwall.com/lists/oss-security/2019/04/30/5 http://www.securityfocus.com/bid/108159 https://jenkins.io/security/advisory/2019-04-30/#SECURITY-443 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003019
https://notcve.org/view.php?id=CVE-2019-1003019
An session fixation vulnerability exists in Jenkins GitHub Authentication Plugin 0.29 and earlier in GithubSecurityRealm.java that allows unauthorized attackers to impersonate another user if they can control the pre-authentication session. Existe una vulnerabilidad de fijación de sesión en Jenkins GitHub Authentication Plugin, en versiones 0.29 y posteriores, en GithubSecurityRealm.java que permite que los atacantes no autorizados suplanten otro usuario si pueden controlar la sesión de preautenticación. • https://jenkins.io/security/advisory/2019-01-28/#SECURITY-797 • CWE-384: Session Fixation •