CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2017-1000394
https://notcve.org/view.php?id=CVE-2017-1000394
Jenkins 2.73.1 and earlier, 2.83 and earlier bundled a version of the commons-fileupload library with the denial-of-service vulnerability known as CVE-2016-3092. The fix for that vulnerability has been backported to the version of the library bundled with Jenkins. Jenkins 2.73.1 y anteriores y 2.83 y anteriores incluía una versión de la biblioteca commons-fileupload con la vulnerabilidad de denegación de servicio (DoS) conocida como CVE-2016-3092. La solución para esa vulnerabilidad se ha trasladado a la versión de la biblioteca incluida con Jenkins. • https://jenkins.io/security/advisory/2017-10-11 • CWE-20: Improper Input Validation •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2017-1000504
https://notcve.org/view.php?id=CVE-2017-1000504
A race condition during Jenkins 2.94 and earlier; 2.89.1 and earlier startup could result in the wrong order of execution of commands during initialization. There is a very short window of time after startup during which Jenkins may no longer show the 'Please wait while Jenkins is getting ready to work' message but Cross-Site Request Forgery (CSRF) protection may not yet be effective. Una condición de carrera durante el inicio de Jenkins 2.94 y anteriores y 2.89.1 y anteriores podría desembocar en un orden incorrecto de ejecución de comandos durante el proceso de inicialización. Hay muy poco espacio de tiempo tras el inicio, durante el cual Jenkins podría no mostrar más el mensaje "Please wait while Jenkins is getting ready to work", pero la protección Cross-Site Request Forgery (CSRF) tal vez no sea efectiva todavía. • https://jenkins.io/security/advisory/2017-12-14 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.1EPSS: 0%CPEs: 2EXPL: 0CVE-2017-1000503
https://notcve.org/view.php?id=CVE-2017-1000503
A race condition during Jenkins 2.81 through 2.94 (inclusive); 2.89.1 startup could result in the wrong order of execution of commands during initialization. This could in rare cases result in failure to initialize the setup wizard on the first startup. This resulted in multiple security-related settings not being set to their usual strict default. Una condición de carrera durante el inicio de Jenkins 2.81 hasta la versión 2.94 (incluida) y la versión 2.89.1 podría desembocar en un orden incorrecto de ejecución de comandos durante el proceso de inicialización. En contadas ocasiones, esto podría resultar en el error a la hora de inicializar el asistente de instalación durante el primer inicio. • https://jenkins.io/security/advisory/2017-12-14 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 4.7EPSS: 0%CPEs: 1EXPL: 0CVE-2017-17383
https://notcve.org/view.php?id=CVE-2017-17383
Jenkins through 2.93 allows remote authenticated administrators to conduct XSS attacks via a crafted tool name in a job configuration form, as demonstrated by the JDK tool in Jenkins core and the Ant tool in the Ant plugin, aka SECURITY-624. Jenkins hasta la versión 2.93 permite que administradores remotos no autenticados lleven a cabo ataques de XSS mediante un nombre de herramienta manipulado en un formulario de configuración de trabajos, tal y como demuestra la herramienta JDK en Jenkins core y la herramienta Ant en el plugin Ant. Esto también se conoce como SECURITY-624. • http://vsintelli.com/portal/blog/23-security-advisory-2017-12-04 http://www.securityfocus.com/bid/102130 https://jenkins.io/security/advisory/2017-12-05 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 40EXPL: 0CVE-2014-9634
https://notcve.org/view.php?id=CVE-2014-9634
Jenkins before 1.586 does not set the secure flag on session cookies when run on Tomcat 7.0.41 or later, which makes it easier for remote attackers to capture cookies by intercepting their transmission within an HTTP session. Jenkins en versiones anteriores a la 1.586 no establece el indicador "secure" cuando se ejecuta en Tomcat 7.0.41 o posterior, lo que facilita que los atacantes remotos capturen cookies interceptando su transmisión en una sesión HTML. • http://www.openwall.com/lists/oss-security/2015/01/22/3 http://www.securityfocus.com/bid/72054 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=769682 https://bugzilla.redhat.com/show_bug.cgi?id=1185148 https://github.com/jenkinsci/jenkins/commit/582128b9ac179a788d43c1478be8a5224dc19710 https://issues.jenkins-ci.org/browse/JENKINS-25019 https://jenkins.io/changelog-old • CWE-254: 7PK - Security Features •