CVE-2019-10459
https://notcve.org/view.php?id=CVE-2019-10459
Jenkins Mattermost Notification Plugin 2.7.0 and earlier stored webhook URLs containing a secret token unencrypted in its global configuration file and job config.xml files on the Jenkins master where they could be viewed by users with Extended Read permission, or access to the master file system. En Jenkins Mattermost Notification Plugin versión 2.7.0 y anteriores, las URL de webhook almacenadas contienen un token secreto sin cifrar en su archivo de configuración global y archivos config.xml de trabajo en el maestro de Jenkins, donde pueden ser visualizados por parte de los usuarios con permiso de lectura extendida o acceso al sistema de archivos maestro. • http://www.openwall.com/lists/oss-security/2019/10/23/2 https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1628 • CWE-522: Insufficiently Protected Credentials •
CVE-2019-1003026
https://notcve.org/view.php?id=CVE-2019-1003026
A server-side request forgery vulnerability exists in Jenkins Mattermost Notification Plugin 2.6.2 and earlier in MattermostNotifier.java that allows attackers with Overall/Read permission to have Jenkins connect to an attacker-specified Mattermost server and room and send a message. Existe una vulnerabilidad Server-Side Request Forgery (SSRF) en Jenkins Mattermost Notification Plugin, en versiones 2.6.2 y anteriores, en MattermostNotifier.java, que permite que los atacantes con permisos Overall/Read hagan que Jenkins se conecte a un servidor Mattermost especificado por el atacante y reserve y envíe un mensaje. • http://www.securityfocus.com/bid/107295 https://jenkins.io/security/advisory/2019-02-19/#SECURITY-985 • CWE-918: Server-Side Request Forgery (SSRF) •