Page 3 of 16 results (0.004 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Jenkins Violation Comments to GitLab Plugin 2.28 and earlier stored credentials unencrypted in job config.xml files on the Jenkins master where they could be viewed by users with Extended Read permission, or access to the master file system. Comentarios de Violación de Jenkins para GitLab Plugin versión 2.28 y anteriores, credenciales almacenadas sin cifrar en los archivos config.xml de trabajo en el maestro de Jenkins donde pueden ser visualizados por usuarios con permiso de Lectura Extendida o acceso al sistema de archivos maestro. • http://www.openwall.com/lists/oss-security/2019/09/25/3 https://jenkins.io/security/advisory/2019-09-25/#SECURITY-1577 • CWE-522: Insufficiently Protected Credentials •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

A session fixation vulnerability in Jenkins Gitlab Authentication Plugin 1.4 and earlier in GitLabSecurityRealm.java allows unauthorized attackers to impersonate another user if they can control the pre-authentication session. Una vulnerabilidad de fijación de sesión en el Plugin Gitlab Authentication de Jenkins versión 1.4 y anteriores en el archivo GitLabSecurityRealm.java, permite a atacantes no autorizados suplantar a otro usuario si pueden controlar la sesión de autenticación previa. • http://www.openwall.com/lists/oss-security/2019/08/07/1 https://jenkins.io/security/advisory/2019-08-07/#SECURITY-795 • CWE-384: Session Fixation •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0

An open redirect vulnerability in Jenkins Gitlab Authentication Plugin 1.4 and earlier in GitLabSecurityRealm.java allows attackers to redirect users to a URL outside Jenkins after successful login. Una vulnerabilidad de un redireccionamiento abierto en el Plugin Gitlab Authentication de Jenkins versión 1.4 y anteriores en el archivo GitLabSecurityRealm.java, permite a atacantes redireccionar a los usuarios hacia una URL fuera de Jenkins después de un inicio de sesión con éxito. • http://www.openwall.com/lists/oss-security/2019/08/07/1 https://jenkins.io/security/advisory/2019-08-07/#SECURITY-796 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

A missing permission check in Jenkins GitLab Plugin 1.5.11 and earlier in the GitLabConnectionConfig#doTestConnection form validation method allowed attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una falta de comprobación de permisos en Jenkins GitLab Plugin versión 1.5.11 y anteriores, en el método de validación de formulario GitLabConnectionConnectionConfig#doTestConnection permitió a los atacantes con permiso Overall/Read conectarse a una URL especificada por el atacante, utilizando ID de credenciales especificadas por el atacante, y que fueron obtenidas por otro método, capturando las credenciales almacenadas en Jenkins. • http://www.securityfocus.com/bid/108045 https://jenkins.io/security/advisory/2019-04-17/#SECURITY-1357 • CWE-862: Missing Authorization •

CVSS: 8.0EPSS: 0%CPEs: 1EXPL: 0

A cross-site request forgery vulnerability in Jenkins GitLab Plugin 1.5.11 and earlier in the GitLabConnectionConfig#doTestConnection form validation method allowed attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una vulnerabilidad de tipo cross-site request forgery en el Plugin GitLab de Jenkins versión 1.5.11 y anteriores en el método de validación del formulario GitLabConnectionConfig#doTestConnection permitió a los atacantes conectarse a una URL especificada por el atacante utilizando las ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando credenciales almacenadas en Jenkins • http://www.securityfocus.com/bid/108045 https://jenkins.io/security/advisory/2019-04-17/#SECURITY-1357 https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0788 • CWE-352: Cross-Site Request Forgery (CSRF) •