Page 7 of 42 results (0.005 seconds)

CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0

A unauthorized modification of configuration vulnerability exists in Jenkins 2.132 and earlier, 2.121.1 and earlier in User.java that allows attackers to provide crafted login credentials that cause Jenkins to move the config.xml file from the Jenkins home directory. If Jenkins is started without this file present, it will revert to the legacy defaults of granting administrator access to anonymous users. Existe una vulnerabilidad de modificación no autorizada de configuración en Jenkins en versiones 2.132 y anteriores y en versiones 2.121.1 y anteriores en User.java que permite que los atacantes proporcionen credenciales de inicio de sesión manipuladas que provocan que Jenkins mueva el archivo config.xml desde el directorio raíz de Jenkins. Si se inicia Jenkins sin este archivo, el programa volverá a la opción por defecto de dar acceso de administrador a los usuarios anónimos. • https://jenkins.io/security/advisory/2018-07-18/#SECURITY-897 https://www.oracle.com/security-alerts/cpuapr2022.html •

CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0

A cross-site scripting vulnerability exists in Jenkins 2.132 and earlier, 2.121.1 and earlier in the Stapler web framework's org/kohsuke/stapler/Stapler.java that allows attackers with the ability to control the existence of some URLs in Jenkins to define JavaScript that would be executed in another user's browser when that other user views HTTP 404 error pages while Stapler debug mode is enabled. Existe una vulnerabilidad de Cross-Site Scripting (XSS) en Jenkins 2.132 y anteriores y 2.121.1 y anteriores en el org/kohsuke/stapler/Stapler.java del framework web Staple. Este permite que los atacantes controlen la existencia de algunas URL en Jenkins para definir JavaScript que será ejecutado en el navegador de otro usuario cuando ese otro usuario visualiza páginas de error HTTP 404 mientras el modo de depuración de Stapler está habilitado. • https://jenkins.io/security/advisory/2018-07-18/#SECURITY-390 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A Improper authorization vulnerability exists in Jenkins 2.132 and earlier, 2.121.1 and earlier in SlaveComputer.java that allows attackers with Overall/Read permission to initiate agent launches, and abort in-progress agent launches. Existe una vulnerabilidad de autorización incorrecta en Jenkins 2.132 y anteriores y 2.121.1 y anteriores en SlaveComputer.java que permite que los atacantes con el permiso Overall/Read inicien el arranque de los agentes y aborten el arranque en proceso de los agentes. • https://jenkins.io/security/advisory/2018-07-18/#SECURITY-892 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-863: Incorrect Authorization •

CVSS: 7.5EPSS: 6%CPEs: 3EXPL: 3

A arbitrary file read vulnerability exists in Jenkins 2.132 and earlier, 2.121.1 and earlier in the Stapler web framework's org/kohsuke/stapler/Stapler.java that allows attackers to send crafted HTTP requests returning the contents of any file on the Jenkins master file system that the Jenkins master has access to. Existe una lectura de archivos arbitrarios en Jenkins en versiones 2.132 y anteriores y en versiones 2.121.1 y anteriores en el org/kohsuke/stapler/Stapler.java del framework web Staple. Este permite que los atacantes envíen peticiones HTTP manipuladas que devuelven el contenido de cualquier archivo del sistema de archivos maestro de Jenkins al que el programa puede acceder. Jenkins plugins Script Security version 1.49, Declarative version 1.3.4, and Groovy version 2.60 suffer from a code execution vulnerability. • https://www.exploit-db.com/exploits/46453 https://github.com/slowmistio/CVE-2019-1003000-and-CVE-2018-1999002-Pre-Auth-RCE-Jenkins https://github.com/0x6b7966/CVE-2018-1999002 https://jenkins.io/security/advisory/2018-07-18/#SECURITY-914 https://www.oracle.com/security-alerts/cpuapr2022.html •

CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0

A server-side request forgery vulnerability exists in Jenkins 2.120 and older, LTS 2.107.2 and older in ZipExtractionInstaller.java that allows users with Overall/Read permission to have Jenkins submit a HTTP GET request to an arbitrary URL and learn whether the response is successful (200) or not. Existe una vulnerabilidad Server-Side Request Forgery en Jenkins 2.120 y versiones anteriores y LTS 2.107.2 y versiones anteriores en ZipExtractionInstaller.java que permite a los usuarios con permiso Overall/Read que hagan que Jenkins envíe una solicitud HTTP GET a un URL arbitrario y averigüe si la respuesta es correcta (200) o no. • https://jenkins.io/security/advisory/2018-05-09/#SECURITY-794 https://www.oracle.com/security-alerts/cpuapr2022.html • CWE-352: Cross-Site Request Forgery (CSRF) •