CVSS: 8.0EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41232
https://notcve.org/view.php?id=CVE-2022-41232
A cross-site request forgery (CSRF) vulnerability in Jenkins Build-Publisher Plugin 1.22 and earlier allows attackers to replace any config.xml file on the Jenkins controller file system with an empty file by providing a crafted file name to an API endpoint. Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Build-Publisher Plugin versiones 1.22 y anteriores, permite a atacantes reemplazar cualquier archivo config.xml en el sistema de archivos del controlador Jenkins con un archivo vacío al proporcionar un nombre de archivo diseñado a un endpoint de la API • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-2139 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41230
https://notcve.org/view.php?id=CVE-2022-41230
Jenkins Build-Publisher Plugin 1.22 and earlier does not perform a permission check in an HTTP endpoint, allowing attackers with Overall/Read permission to obtain names and URLs of Jenkins servers that the plugin is configured to publish builds to, as well as builds pending for publication to those Jenkins servers. Jenkins Build-Publisher Plugin versiones 1.22 y anteriores, no lleva a cabo una comprobación de permisos en un endpoint HTTP, lo que permite a atacantes con permiso Overall/Read obtener los nombres y URLs de los servidores Jenkins en los que el plugin está configurado para publicar builds, así como los builds pendientes de publicar en esos servidores Jenkins • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-1994 • CWE-862: Missing Authorization •
CVSS: 5.7EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41231
https://notcve.org/view.php?id=CVE-2022-41231
Jenkins Build-Publisher Plugin 1.22 and earlier allows attackers with Item/Configure permission to create or replace any config.xml file on the Jenkins controller file system by providing a crafted file name to an API endpoint. Jenkins Build-Publisher Plugin versiones 1.22 y anteriores, permite a atacantes con permiso Item/Configure crear o reemplazar cualquier archivo config.xml en el sistema de archivos del controlador Jenkins proporcionando un nombre de archivo diseñado a un endpoint de la API • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-2139 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41229
https://notcve.org/view.php?id=CVE-2022-41229
Jenkins NS-ND Integration Performance Publisher Plugin 4.8.0.134 and earlier does not escape configuration options of the Execute NetStorm/NetCloud Test build step, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission. Jenkins NS-ND Integration Performance Publisher Plugin versiones 4.8.0.134 y anteriores, no escapa a las opciones de configuración del paso de construcción Execute NetStorm/NetCloud Test, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenada explotable por atacantes con permiso Item/Configure • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-2858 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-41228
https://notcve.org/view.php?id=CVE-2022-41228
A missing permission check in Jenkins NS-ND Integration Performance Publisher Plugin 4.8.0.129 and earlier allows attackers with Overall/Read permissions to connect to an attacker-specified webserver using attacker-specified credentials. Una falta de comprobación de permisos en Jenkins NS-ND Integration Performance Publisher Plugin versiones 4.8.0.129 y anteriores, permite a atacantes con permisos Overall/Read conectarse a un servidor web especificado por el atacante usando credenciales especificadas por el atacante • https://www.jenkins.io/security/advisory/2022-09-21/#SECURITY-2737 • CWE-862: Missing Authorization •