CVE-2023-41935
https://notcve.org/view.php?id=CVE-2023-41935
Jenkins Azure AD Plugin 396.v86ce29279947 and earlier, except 378.380.v545b_1154b_3fb_, uses a non-constant time comparison function when checking whether the provided and expected CSRF protection nonce are equal, potentially allowing attackers to use statistical methods to obtain a valid nonce. El complemento Jenkins Azure AD 396.v86ce29279947 y versiones anteriores, excepto 378.380.v545b_1154b_3fb_, usa una función de comparación de tiempo no constante al comprobar si el nonce de protección CSRF proporcionado y esperado es igual, lo que podría permitir a los atacantes usar métodos estadísticos para obtener un nonce válido. • http://www.openwall.com/lists/oss-security/2023/09/06/9 https://www.jenkins.io/security/advisory/2023-09-06/#SECURITY-3227 • CWE-697: Incorrect Comparison •
CVE-2023-24426
https://notcve.org/view.php?id=CVE-2023-24426
Jenkins Azure AD Plugin 303.va_91ef20ee49f and earlier does not invalidate the previous session on login. El complemento Azure AD de Jenkins versión 303.va_91ef20ee49f y anteriores no invalida la sesión anterior al iniciar sesión. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2980 • CWE-613: Insufficient Session Expiration •
CVE-2021-21679
https://notcve.org/view.php?id=CVE-2021-21679
Jenkins Azure AD Plugin 179.vf6841393099e and earlier allows attackers to craft URLs that would bypass the CSRF protection of any target URL in Jenkins. El Plugin Azure AD de Jenkins versiones 179.vf6841393099e y anteriores, permite a atacantes diseñar URLs que podrían omitir la protección CSRF de cualquier URL de destino en Jenkins • http://www.openwall.com/lists/oss-security/2021/08/31/1 https://www.jenkins.io/security/advisory/2021-08-31/#SECURITY-2470 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2020-2119
https://notcve.org/view.php?id=CVE-2020-2119
Jenkins Azure AD Plugin 1.1.2 and earlier transmits configured credentials in plain text as part of the global Jenkins configuration form, potentially resulting in their exposure. Jenkins Azure AD Plugin versiones 1.1.2 y anteriores, transmiten las credenciales configuradas en texto plano como parte del formulario de configuración global de Jenkins, resultando potencialmente en su exposición. • http://www.openwall.com/lists/oss-security/2020/02/12/3 https://jenkins.io/security/advisory/2020-02-12/#SECURITY-1717 • CWE-522: Insufficiently Protected Credentials •
CVE-2019-10318
https://notcve.org/view.php?id=CVE-2019-10318
Jenkins Azure AD Plugin 0.3.3 and earlier stored the client secret unencrypted in the global config.xml configuration file on the Jenkins master where it could be viewed by users with access to the master file system. Jenkins Azure AD Plugin versión 0.3.3 y anteriores almacenaban el secreto del cliente sin cifrar en el archivo de configuración global config.xml en el maestro de Jenkins donde podía ser visto por los usuarios con acceso al sistema de archivos maestro. • http://www.openwall.com/lists/oss-security/2019/04/30/5 http://www.securityfocus.com/bid/108159 https://jenkins.io/security/advisory/2019-04-30/#SECURITY-1390 • CWE-522: Insufficiently Protected Credentials •