CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-25209
https://notcve.org/view.php?id=CVE-2022-25209
Jenkins Chef Sinatra Plugin 1.20 and earlier does not configure its XML parser to prevent XML external entity (XXE) attacks. Jenkins Chef Sinatra Plugin versiones 1.20 y anteriores, no configura su analizador XML para prevenir ataques de tipo XML external entity (XXE) • https://www.jenkins.io/security/advisory/2022-02-15/#SECURITY-1377 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-25208
https://notcve.org/view.php?id=CVE-2022-25208
A missing permission check in Jenkins Chef Sinatra Plugin 1.20 and earlier allows attackers with Overall/Read permission to have Jenkins send an HTTP request to an attacker-controlled URL and have it parse an XML response. Una falta de comprobación de permisos en Jenkins Chef Sinatra Plugin versiones 1.20 y anteriores, permite a atacantes con permiso Overall/Read hacer que Jenkins envíe una petición HTTP a una URL controlada por el atacante y que analice una respuesta XML • http://www.openwall.com/lists/oss-security/2022/02/15/2 https://www.jenkins.io/security/advisory/2022-02-15/#SECURITY-1377 • CWE-862: Missing Authorization •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2022-25207
https://notcve.org/view.php?id=CVE-2022-25207
A cross-site request forgery (CSRF) vulnerability in Jenkins Chef Sinatra Plugin 1.20 and earlier allows attackers to have Jenkins send an HTTP request to an attacker-controlled URL and have it parse an XML response. Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Chef Sinatra Plugin versiones 1.20 y anteriores, permite a atacantes hacer que Jenkins envíe una petición HTTP a una URL controlada por el atacante y que analice una respuesta XML • http://www.openwall.com/lists/oss-security/2022/02/15/2 https://www.jenkins.io/security/advisory/2022-02-15/#SECURITY-1377 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003087
https://notcve.org/view.php?id=CVE-2019-1003087
A missing permission check in Jenkins Chef Sinatra Plugin in the ChefBuilderConfiguration.DescriptorImpl#doTestConnection form validation method allows attackers with Overall/Read permission to initiate a connection to an attacker-specified server. El plugin Upload to pgyer de Jenkins almacena credenciales sin cifrar en archivos config.xml de tareas en el servidor maestro de Jenkins donde las credenciales pueden ser visualizadas por los usuarios con permisos de lectura extendidos o con acceso al sistema de archivos maestro. • http://www.openwall.com/lists/oss-security/2019/04/12/2 http://www.securityfocus.com/bid/107790 https://jenkins.io/security/advisory/2019-04-03/#SECURITY-1037 • CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003086
https://notcve.org/view.php?id=CVE-2019-1003086
A cross-site request forgery vulnerability in Jenkins Chef Sinatra Plugin in the ChefBuilderConfiguration.DescriptorImpl#doTestConnection form validation method allows attackers to initiate a connection to an attacker-specified server. Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Chef Sinatra de Jenkins, en el método de validación de formulario ChefBuilderConfiguration.DescriptorImpl#doTestConnection, permite a los atacantes iniciar una conexión a un servidor especificado por el atacante. • http://www.openwall.com/lists/oss-security/2019/04/12/2 http://www.securityfocus.com/bid/107790 https://jenkins.io/security/advisory/2019-04-03/#SECURITY-1037 • CWE-352: Cross-Site Request Forgery (CSRF) •