CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24452
https://notcve.org/view.php?id=CVE-2023-24452
A cross-site request forgery (CSRF) vulnerability in Jenkins TestQuality Updater Plugin 1.3 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified username and password. Una vulnerabilidad de cross-site request forgery (CSRF) en el complemento TestQuality Updater de Jenkins en su versión 1.3 y anteriores permite a los atacantes conectarse a una URL especificada por el atacante utilizando el nombre de usuario y la contraseña especificados por el atacante. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2800 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24459
https://notcve.org/view.php?id=CVE-2023-24459
A missing permission check in Jenkins BearyChat Plugin 3.0.2 and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL. Una verificación de permiso faltante en BearyChat de Jenkins en su versión 3.0.2 y anteriores permite a atacantes con permiso general/lectura conectarse a una URL especificada por el atacante. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2745 • CWE-862: Missing Authorization •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-46686
https://notcve.org/view.php?id=CVE-2022-46686
Jenkins Custom Build Properties Plugin 2.79.vc095ccc85094 and earlier does not escape property values and build display names on the Custom Build Properties and Build Summary pages, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to set or change these values. Jenkins Custom Build Properties Plugin 2.79.vc095ccc85094 y versiones anteriores no escapa a los valores de propiedad ni a los nombres para mostrar de las compilaciones en las páginas Propiedades de compilación personalizadas y Resumen de compilación, lo que genera una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado que los atacantes pueden aprovechar para establecer o cambiar estos valores. • https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-2810 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-46682
https://notcve.org/view.php?id=CVE-2022-46682
Jenkins Plot Plugin 2.1.11 and earlier does not configure its XML parser to prevent XML external entity (XXE) attacks. Jenkins Plot Plugin 2.1.11 y versiones anteriores no configuran su analizador XML para evitar ataques de entidades externas XML (XXE). • https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-2940 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-46683
https://notcve.org/view.php?id=CVE-2022-46683
Jenkins Google Login Plugin 1.4 through 1.6 (both inclusive) improperly determines that a redirect URL after login is legitimately pointing to Jenkins. Jenkins Google Login Plugin 1.4 a 1.6 (ambos inclusive) determina incorrectamente que una URL de redireccionamiento después de iniciar sesión apunta legítimamente a Jenkins. • https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-2967 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •