CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-34184
https://notcve.org/view.php?id=CVE-2022-34184
Jenkins CRX Content Package Deployer Plugin 1.9 and earlier does not escape the name and description of CRX Content Package Choice parameters on views displaying parameters, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission. Jenkins CRX Content Package Deployer Plugin versiones 1.9 y anteriores, no escapa del nombre y la descripción de los parámetros CRX Content Package Choice en las visualizaciones que muestran parámetros, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado que puede ser explotada por atacantes con permiso Item/Configure • https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2784 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10438
https://notcve.org/view.php?id=CVE-2019-10438
A missing permission check in Jenkins CRX Content Package Deployer Plugin 1.8.1 and earlier allowed attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una falta de comprobación de permiso en Jenkins CRX Content Package Deployer Plugin versión 1.8.1 y anteriores, permitía a atacantes con permiso General y de Lectura conectar con una URL especificada por el atacante usando los IDs de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando así las credenciales almacenadas en Jenkins. • https://jenkins.io/security/advisory/2019-10-16/#SECURITY-1006%20%281%29 • CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10439
https://notcve.org/view.php?id=CVE-2019-10439
A missing permission check in Jenkins CRX Content Package Deployer Plugin 1.8.1 and earlier in various 'doFillCredentialsIdItems' methods allowed users with Overall/Read access to enumerate credentials ID of credentials stored in Jenkins. Una falta de comprobación de permiso en Jenkins CRX Content Package Deployer Plugin versión 1.8.1 y anteriores, en varios métodos "doFillCredentialsIdItems" permitió a los usuarios con acceso general y de lectura enumerar el ID de credenciales de las credenciales almacenadas en Jenkins. • https://jenkins.io/security/advisory/2019-10-16/#SECURITY-1006%20%282%29 • CWE-862: Missing Authorization •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10437
https://notcve.org/view.php?id=CVE-2019-10437
A cross-site request forgery vulnerability in Jenkins CRX Content Package Deployer Plugin 1.8.1 and earlier allowed attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una vulnerabilidad de tipo cross-site request forgery en Jenkins CRX Content Package Deployer Plugin versión 1.8.1 y anteriores, permitía a atacantes conectar con una URL especificada por el atacante usando los IDs de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando así las credenciales almacenadas en Jenkins. • https://jenkins.io/security/advisory/2019-10-16/#SECURITY-1006%20%281%29 • CWE-352: Cross-Site Request Forgery (CSRF) •