CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24432
https://notcve.org/view.php?id=CVE-2023-24432
A cross-site request forgery (CSRF) vulnerability in Jenkins Orka by MacStadium Plugin 1.31 and earlier allows attackers to connect to an attacker-specified HTTP server using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una vulnerabilidad de cross-site request forgery (CSRF) en el complemento Orka by MacStadium Plugin de Jenkins en su versión 1.31 y anteriores permite a los atacantes conectarse a un servidor HTTP especificado por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2772%20%282%29 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24435
https://notcve.org/view.php?id=CVE-2023-24435
A missing permission check in Jenkins GitHub Pull Request Builder Plugin 1.42.2 and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una verificación de permiso faltante en el complemento GitHub Pull Request Builder de Jenkins en su versión 1.42.2 y anteriores permite a los atacantes con permiso general/lectura conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2789%20%282%29 • CWE-862: Missing Authorization •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24442
https://notcve.org/view.php?id=CVE-2023-24442
Jenkins GitHub Pull Request Coverage Status Plugin 2.2.0 and earlier stores the GitHub Personal Access Token, Sonar access token and Sonar password unencrypted in its global configuration file on the Jenkins controller where they can be viewed by users with access to the Jenkins controller file system. El complemento GitHub Pull Request Coverage Status de Jenkins en su versión 2.2.0 y anteriores almacena el token de acceso personal de GitHub, el token de acceso de Sonar y la contraseña de Sonar sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde los usuarios con acceso al sistema de archivos del controlador de Jenkins pueden verlos. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2767 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24436
https://notcve.org/view.php?id=CVE-2023-24436
A missing permission check in Jenkins GitHub Pull Request Builder Plugin 1.42.2 and earlier allows attackers with Overall/Read permission to enumerate credentials IDs of credentials stored in Jenkins. Una verificación de permiso faltante en el complemento GitHub Pull Request Builder de Jenkins en su versión 1.42.2 y anteriores permite a atacantes con permiso general/lectura enumerar los ID de las credenciales almacenadas en Jenkins. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2789%20%281%29 • CWE-862: Missing Authorization •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24454
https://notcve.org/view.php?id=CVE-2023-24454
Jenkins TestQuality Updater Plugin 1.3 and earlier stores the TestQuality Updater password unencrypted in its global configuration file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system. El complemento TestQuality Updater de Jenkins en su versión 1.3 y anteriores almacenan la contraseña de TestQuality Updater sin cifrar en su archivo de configuración global en el controlador Jenkins, donde los usuarios con acceso al sistema de archivos del controlador Jenkins pueden verla. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2091 • CWE-312: Cleartext Storage of Sensitive Information •