CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41236
https://notcve.org/view.php?id=CVE-2022-41236
A cross-site request forgery (CSRF) vulnerability in Jenkins Security Inspector Plugin 117.v6eecc36919c2 and earlier allows attackers to replace the generated report stored in a per-session cache and displayed to authorized users at the .../report URL with a report based on attacker-specified report generation options. Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Security Inspector Plugin versiones 117.v6eecc36919c2 y anteriores, permite a atacantes reemplazar el informe generado almacenado en una caché por sesión y mostrado a usuarios autorizados en la URL .../report con un informe basado en las opciones de generación de informes especificadas por el atacante • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-2051 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41237
https://notcve.org/view.php?id=CVE-2022-41237
Jenkins DotCi Plugin 2.40.00 and earlier does not configure its YAML parser to prevent the instantiation of arbitrary types, resulting in a remote code execution vulnerability. Jenkins DotCi Plugin versiones 2.40.00 y anteriores, no configuran su parser YAML para prevenir la instanciación de tipos arbitrarios, resultando en una vulnerabilidad de ejecución de código remota • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-1737 •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41235
https://notcve.org/view.php?id=CVE-2022-41235
Jenkins WildFly Deployer Plugin 1.0.2 and earlier implements functionality that allows agent processes to read arbitrary files on the Jenkins controller file system. Jenkins WildFly Deployer Plugin versiones 1.0.2 y anteriores, implementan una funcionalidad que permite a procesos del agente leer archivos arbitrarios en el sistema de archivos del controlador Jenkins • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-2645 •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41234
https://notcve.org/view.php?id=CVE-2022-41234
Jenkins Rundeck Plugin 3.6.11 and earlier does not protect access to the /plugin/rundeck/webhook/ endpoint, allowing users with Overall/Read permission to trigger jobs that are configured to be triggerable via Rundeck. Jenkins Rundeck Plugin versiones 3.6.11 y anteriores, no protegen el acceso al endpoint /plugin/rundeck/webhook/, permitiendo a usuarios con permiso Overall/Read desencadenar trabajos que están configurados para ser desencadenados por medio de Rundeck • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-2169 • CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41233
https://notcve.org/view.php?id=CVE-2022-41233
Jenkins Rundeck Plugin 3.6.11 and earlier does not perform Run/Artifacts permission checks in multiple HTTP endpoints, allowing attackers with Item/Read permission to obtain information about build artifacts of a given job, if the optional Run/Artifacts permission is enabled. Jenkins Rundeck Plugin versiones 3.6.11 y anteriores, no lleva a cabo la comprobación de permisos Run/Artifacts en múltiples endpoints HTTP, permitiendo a atacantes con permiso Item/Read obtener información sobre los artefactos de construcción de un trabajo determinado, si el permiso opcional Run/Artifacts está habilitado • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-2170 • CWE-862: Missing Authorization •