CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-43413
https://notcve.org/view.php?id=CVE-2022-43413
Jenkins Job Import Plugin 3.5 and earlier does not perform a permission check in an HTTP endpoint, allowing attackers with Overall/Read permission to enumerate credentials IDs of credentials stored in Jenkins. Jenkins Job Import Plugin versiones 3.5 y anteriores, no lleva a cabo una comprobación de permisos en un endpoint HTTP, lo que permite a atacantes con permiso Overall/Read enumerar los ID de las credenciales almacenadas en Jenkins • http://www.openwall.com/lists/oss-security/2022/10/19/3 https://www.jenkins.io/security/advisory/2022-10-19/#SECURITY-2791 • CWE-862: Missing Authorization •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003015
https://notcve.org/view.php?id=CVE-2019-1003015
An XML external entity processing vulnerability exists in Jenkins Job Import Plugin 2.1 and earlier in src/main/java/org/jenkins/ci/plugins/jobimport/client/RestApiClient.java that allows attackers with the ability to control the HTTP server (Jenkins) queried in preparation of job import to read arbitrary files, perform a denial of service attack, etc. Existe una vulnerabilidad de procesamiento de entidades externas XML en Jenkins Job Import Plugin, en versiones 2.1 y anteriores, en src/main/java/org/jenkins/ci/plugins/jobimport/client/RestApiClient.java, que permite que los atacantes con capacidad para controlar el servidor HTTP (Jenkins) en "query" para prepararse para una importación de trabajo lean archivos arbitrarios, realicen una denegación de servicio (DoS), etc. • https://jenkins.io/security/advisory/2019-01-28/#SECURITY-905%20%281%29 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003017
https://notcve.org/view.php?id=CVE-2019-1003017
A data modification vulnerability exists in Jenkins Job Import Plugin 3.0 and earlier in JobImportAction.java that allows attackers to copy jobs from a preconfigured other Jenkins instance, potentially installing additional plugins necessary to load the imported job's configuration. Existe una vulnerabilidad de modificación de datos en Jenkins Job Import Plugin, en versiones 3.0 y anteriores, en JobImportAction.java, que permite que los atacantes copien trabajos desde otra instancia de Jenkins preconfigurada, pudiendo instalar plugins adicionales necesarios para cargar la configuración importada del trabajo. • https://jenkins.io/security/advisory/2019-01-28/#SECURITY-1302 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-1003016
https://notcve.org/view.php?id=CVE-2019-1003016
An exposure of sensitive information vulnerability exists in Jenkins Job Import Plugin 2.1 and earlier in src/main/java/org/jenkins/ci/plugins/jobimport/JobImportAction.java, src/main/java/org/jenkins/ci/plugins/jobimport/JobImportGlobalConfig.java, src/main/java/org/jenkins/ci/plugins/jobimport/model/JenkinsSite.java that allows attackers with Overall/Read permission to have Jenkins connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins. Existe una vulnerabilidad de exposición de información sensible en Jenkins Job Import Plugin, en versiones 2.1 y anteriores, en src/main/java/org/jenkins/ci/plugins/jobimport/JobImportAction.java, src/main/java/org/jenkins/ci/plugins/jobimport/JobImportGlobalConfig.java y src/main/java/org/jenkins/ci/plugins/jobimport/model/JenkinsSite.java, que permite que los atacantes con permisos Overall/Read hagan que Jenkins se conecte a una URL especificada por ellos, mediante ID de credenciales especificados por el atacante obtenidos por otra vía, capturando credenciales almacenadas en Jenkins. • https://jenkins.io/security/advisory/2019-01-28/#SECURITY-905%20%282%29 • CWE-352: Cross-Site Request Forgery (CSRF) •