CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24438
https://notcve.org/view.php?id=CVE-2023-24438
A missing permission check in Jenkins JIRA Pipeline Steps Plugin 2.0.165.v8846cf59f3db and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una verificación de permiso faltante en el complemento JIRA Pipeline Steps de Jenkins en su versión 2.0.165.v8846cf59f3db y anteriores permite a atacantes con permiso general/lectura conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2786 • CWE-862: Missing Authorization •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24439
https://notcve.org/view.php?id=CVE-2023-24439
Jenkins JIRA Pipeline Steps Plugin 2.0.165.v8846cf59f3db and earlier stores the private keys unencrypted in its global configuration file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system. El complemento JIRA Pipeline Steps de Jenkins en su versión 2.0.165.v8846cf59f3db y anteriores almacena las claves privadas sin cifrar en su archivo de configuración global en el controlador Jenkins, donde los usuarios con acceso al sistema de archivos del controlador Jenkins pueden verlas. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2774 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24440
https://notcve.org/view.php?id=CVE-2023-24440
Jenkins JIRA Pipeline Steps Plugin 2.0.165.v8846cf59f3db and earlier transmits the private key in plain text as part of the global Jenkins configuration form, potentially resulting in their exposure. El complemento JIRA Pipeline Steps de Jenkins en su versión 2.0.165.v8846cf59f3db y anteriores transmite la clave privada en texto sin formato como parte del formulario de configuración global de Jenkins, lo que potencialmente resulta en su exposición. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2774 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-24437
https://notcve.org/view.php?id=CVE-2023-24437
A cross-site request forgery (CSRF) vulnerability in Jenkins JIRA Pipeline Steps Plugin 2.0.165.v8846cf59f3db and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Una vulnerabilidad de cross-site request forgery (CSRF) en el complemento JIRA Pipeline Steps de Jenkins en su versión 2.0.165.v8846cf59f3db y anteriores permite a los atacantes conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins. • https://www.jenkins.io/security/advisory/2023-01-24/#SECURITY-2786 • CWE-352: Cross-Site Request Forgery (CSRF) •