CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-41936
https://notcve.org/view.php?id=CVE-2023-41936
Jenkins Google Login Plugin 1.7 and earlier uses a non-constant time comparison function when checking whether the provided and expected token are equal, potentially allowing attackers to use statistical methods to obtain a valid token. El complemento Jenkins Google Login 1.7 y versiones anteriores utilizan una función de comparación de tiempo no constante al verificar si el token proporcionado y esperado son iguales, lo que potencialmente permite a los atacantes utilizar métodos estadísticos para obtener un token válido. • http://www.openwall.com/lists/oss-security/2023/09/06/9 https://www.jenkins.io/security/advisory/2023-09-06/#SECURITY-3228 • CWE-697: Incorrect Comparison •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-46683
https://notcve.org/view.php?id=CVE-2022-46683
Jenkins Google Login Plugin 1.4 through 1.6 (both inclusive) improperly determines that a redirect URL after login is legitimately pointing to Jenkins. Jenkins Google Login Plugin 1.4 a 1.6 (ambos inclusive) determina incorrectamente que una URL de redireccionamiento después de iniciar sesión apunta legítimamente a Jenkins. • https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-2967 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •