CVE-2023-41936
https://notcve.org/view.php?id=CVE-2023-41936
Jenkins Google Login Plugin 1.7 and earlier uses a non-constant time comparison function when checking whether the provided and expected token are equal, potentially allowing attackers to use statistical methods to obtain a valid token. El complemento Jenkins Google Login 1.7 y versiones anteriores utilizan una función de comparación de tiempo no constante al verificar si el token proporcionado y esperado son iguales, lo que potencialmente permite a los atacantes utilizar métodos estadísticos para obtener un token válido. • http://www.openwall.com/lists/oss-security/2023/09/06/9 https://www.jenkins.io/security/advisory/2023-09-06/#SECURITY-3228 • CWE-697: Incorrect Comparison •
CVE-2022-46683
https://notcve.org/view.php?id=CVE-2022-46683
Jenkins Google Login Plugin 1.4 through 1.6 (both inclusive) improperly determines that a redirect URL after login is legitimately pointing to Jenkins. Jenkins Google Login Plugin 1.4 a 1.6 (ambos inclusive) determina incorrectamente que una URL de redireccionamiento después de iniciar sesión apunta legítimamente a Jenkins. • https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-2967 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVE-2015-5298
https://notcve.org/view.php?id=CVE-2015-5298
The Google Login Plugin (versions 1.0 and 1.1) allows malicious anonymous users to authenticate successfully against Jenkins instances that are supposed to be locked down to a particular Google Apps domain through client-side request modification. The Google Login Plugin (versiones 1.0 y 1.1) permite a usuarios anónimos maliciosos autenticarse con éxito contra instancias de Jenkins que es supuesto que están bloqueadas a un dominio particular de Google Apps mediante la modificación de peticiones del lado del cliente • http://exfiltrated.com/research-CVE-2015-5298.php https://www.jenkins.io/security/advisory/2015-10-12 • CWE-287: Improper Authentication •
CVE-2018-1000173
https://notcve.org/view.php?id=CVE-2018-1000173
A session fixaction vulnerability exists in Jenkins Google Login Plugin 1.3 and older in GoogleOAuth2SecurityRealm.java that allows unauthorized attackers to impersonate another user if they can control the pre-authentication session. Existe una vulnerabilidad de fijación de sesión en el plugin Google Login en versiones 1.3 y posteriores para Jenkins en GoogleOAuth2SecurityRealm.java que permite que los atacantes no autorizados suplanten otro usuario si pueden controlar la sesión de preautenticación. • http://www.securityfocus.com/bid/104210 https://jenkins.io/security/advisory/2018-04-16 • CWE-384: Session Fixation •
CVE-2018-1000174
https://notcve.org/view.php?id=CVE-2018-1000174
An open redirect vulnerability exists in Jenkins Google Login Plugin 1.3 and older in GoogleOAuth2SecurityRealm.java that allows attackers to redirect users to an arbitrary URL after successful login. Existe una vulnerabilidad de redirección en el plugin Google Login en versiones 1.3 y posteriores para Jenkins en GoogleOAuth2SecurityRealm.java que permite que los atacantes redirijan a los usuarios a una URL arbitraria después de un inicio de sesión con éxito. • http://www.securityfocus.com/bid/104211 https://jenkins.io/security/advisory/2018-04-16 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •