CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10303
https://notcve.org/view.php?id=CVE-2019-10303
Jenkins Azure PublisherSettings Credentials Plugin 1.2 and earlier stored credentials unencrypted in the credentials.xml file on the Jenkins master where they could be viewed by users with access to the master file system. Jenkins Azure PublisherSettings Credentials Plugin version 1.2 y anteriores, tiene las credenciales almacenadas sin cifrar en el archivo credenciales.xml en el servidor maestro de Jenkins donde pueden ser vistas por los usuarios con acceso al sistema de archivos maestro. • http://www.securityfocus.com/bid/108045 https://jenkins.io/security/advisory/2019-04-17/#SECURITY-844 • CWE-522: Insufficiently Protected Credentials •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1000601
https://notcve.org/view.php?id=CVE-2018-1000601
A arbitrary file read vulnerability exists in Jenkins SSH Credentials Plugin 1.13 and earlier in BasicSSHUserPrivateKey.java that allows attackers with a Jenkins account and the permission to configure credential bindings to read arbitrary files from the Jenkins master file system. Existe una vulnerabilidad de lectura de archivos arbitrarios en el plugin de Jenkins SSH Credentials en versiones 1.13 y anteriores en BasicSSHUserPrivateKey.java que permite a los atacantes con una cuenta en Jenkins y el permiso para configurar el emparejamiento de credenciales leer archivos arbitrarios desde el sistema de archivos maestro de Jenkins. • https://jenkins.io/security/advisory/2018-06-25/#SECURITY-440 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1000057
https://notcve.org/view.php?id=CVE-2018-1000057
Jenkins Credentials Binding Plugin 1.14 and earlier masks passwords it provides to build processes in their build logs. Jenkins however transforms provided password values, e.g. replacing environment variable references, which could result in values different from but similar to configured passwords being provided to the build. Those values are not subject to masking, and could allow unauthorized users to recover the original password. Jenkins Credentials Binding Plugin, en versiones 1.14 y anteriores, oculta las contraseñas que proporciona para construir procesos en sus archivos de registro de builds. Sin embargo, Jenkins transforma los valores de contraseña proporcionados, por ejemplo, reemplazando las referencias de variables de entorno, lo que podría resultar en que los valores sean diferentes pero similares a contraseñas configuradas que se entregan a la build. • https://jenkins.io/security/advisory/2018-02-05 • CWE-522: Insufficiently Protected Credentials •