CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2022-46688
https://notcve.org/view.php?id=CVE-2022-46688
A cross-site request forgery (CSRF) vulnerability in Jenkins Sonar Gerrit Plugin 377.v8f3808963dc5 and earlier allows attackers to have Jenkins connect to Gerrit servers (previously configured by Jenkins administrators) using attacker-specified credentials IDs obtained through another method, potentially capturing credentials stored in Jenkins. Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento Jenkins Sonar Gerrit 377.v8f3808963dc5 y versiones anteriores permite a los atacantes hacer que Jenkins se conecte a los servidores Gerrit (previamente configurados por los administradores de Jenkins) utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando potencialmente las credenciales. almacenado en Jenkins. • https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-1002 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10467
https://notcve.org/view.php?id=CVE-2019-10467
Jenkins Sonar Gerrit Plugin stores credentials unencrypted in job config.xml files on the Jenkins master where they can be viewed by users with Extended Read permission, or access to the master file system. Jenkins Sonar Gerrit Plugin almacena las credenciales sin cifrar en los archivos config.xml de trabajo en el maestro de Jenkins, donde pueden ser visualizados por los usuarios con permiso de lectura extendido o acceso al sistema de archivos maestro. • http://www.openwall.com/lists/oss-security/2019/10/23/2 https://jenkins.io/security/advisory/2019-10-23/#SECURITY-1003 • CWE-522: Insufficiently Protected Credentials •