Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2023-40345 (GCVE-0-2023-40345)
Vulnerability from cvelistv5 – Published: 2023-08-16 14:32 – Updated: 2024-10-08 18:28| Vendor | Product | Version | |
|---|---|---|---|
| Jenkins Project | Jenkins Delphix Plugin |
Affected:
0 , ≤ 3.0.2
(maven)
|
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-02T18:31:53.597Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"name": "Jenkins Security Advisory 2023-08-16",
"tags": [
"vendor-advisory",
"x_transferred"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)"
},
{
"tags": [
"x_transferred"
],
"url": "http://www.openwall.com/lists/oss-security/2023/08/16/3"
},
{
"tags": [
"x_transferred"
],
"url": "https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture"
}
],
"title": "CVE Program Container"
},
{
"metrics": [
{
"other": {
"content": {
"id": "CVE-2023-40345",
"options": [
{
"Exploitation": "none"
},
{
"Automatable": "no"
},
{
"Technical Impact": "partial"
}
],
"role": "CISA Coordinator",
"timestamp": "2024-10-08T18:28:02.685912Z",
"version": "2.0.3"
},
"type": "ssvc"
}
}
],
"providerMetadata": {
"dateUpdated": "2024-10-08T18:28:25.965Z",
"orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"shortName": "CISA-ADP"
},
"title": "CISA ADP Vulnrichment"
}
],
"cna": {
"affected": [
{
"defaultStatus": "unaffected",
"product": "Jenkins Delphix Plugin",
"vendor": "Jenkins Project",
"versions": [
{
"lessThanOrEqual": "3.0.2",
"status": "affected",
"version": "0",
"versionType": "maven"
}
]
}
],
"descriptions": [
{
"lang": "en",
"value": "Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Overall/Read permission to access and capture credentials they are not entitled to."
}
],
"providerMetadata": {
"dateUpdated": "2023-10-24T12:51:29.812Z",
"orgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
"shortName": "jenkins"
},
"references": [
{
"name": "Jenkins Security Advisory 2023-08-16",
"tags": [
"vendor-advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)"
},
{
"url": "http://www.openwall.com/lists/oss-security/2023/08/16/3"
},
{
"url": "https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture"
}
]
}
},
"cveMetadata": {
"assignerOrgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
"assignerShortName": "jenkins",
"cveId": "CVE-2023-40345",
"datePublished": "2023-08-16T14:32:55.174Z",
"dateReserved": "2023-08-14T16:02:56.436Z",
"dateUpdated": "2024-10-08T18:28:25.965Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"epss": {
"cve": "CVE-2023-40345",
"date": "2026-05-22",
"epss": "0.00213",
"percentile": "0.43681"
},
"fkie_nvd": {
"configurations": "[{\"nodes\": [{\"operator\": \"OR\", \"negate\": false, \"cpeMatch\": [{\"vulnerable\": true, \"criteria\": \"cpe:2.3:a:jenkins:delphix:*:*:*:*:*:jenkins:*:*\", \"versionEndIncluding\": \"3.0.2\", \"matchCriteriaId\": \"681DA3E2-98DD-4822-8249-AD8E73BEBB4A\"}]}]}]",
"descriptions": "[{\"lang\": \"en\", \"value\": \"Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Overall/Read permission to access and capture credentials they are not entitled to.\"}]",
"id": "CVE-2023-40345",
"lastModified": "2024-11-21T08:19:15.873",
"metrics": "{\"cvssMetricV31\": [{\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"cvssData\": {\"version\": \"3.1\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N\", \"baseScore\": 6.5, \"baseSeverity\": \"MEDIUM\", \"attackVector\": \"NETWORK\", \"attackComplexity\": \"LOW\", \"privilegesRequired\": \"LOW\", \"userInteraction\": \"NONE\", \"scope\": \"UNCHANGED\", \"confidentialityImpact\": \"HIGH\", \"integrityImpact\": \"NONE\", \"availabilityImpact\": \"NONE\"}, \"exploitabilityScore\": 2.8, \"impactScore\": 3.6}]}",
"published": "2023-08-16T15:15:11.937",
"references": "[{\"url\": \"http://www.openwall.com/lists/oss-security/2023/08/16/3\", \"source\": \"jenkinsci-cert@googlegroups.com\", \"tags\": [\"Mailing List\", \"Third Party Advisory\"]}, {\"url\": \"https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture\", \"source\": \"jenkinsci-cert@googlegroups.com\"}, {\"url\": \"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)\", \"source\": \"jenkinsci-cert@googlegroups.com\", \"tags\": [\"Vendor Advisory\"]}, {\"url\": \"http://www.openwall.com/lists/oss-security/2023/08/16/3\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Mailing List\", \"Third Party Advisory\"]}, {\"url\": \"https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\"}, {\"url\": \"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)\", \"source\": \"af854a3a-2127-422b-91ae-364da2661108\", \"tags\": [\"Vendor Advisory\"]}]",
"sourceIdentifier": "jenkinsci-cert@googlegroups.com",
"vulnStatus": "Modified",
"weaknesses": "[{\"source\": \"nvd@nist.gov\", \"type\": \"Primary\", \"description\": [{\"lang\": \"en\", \"value\": \"CWE-522\"}]}]"
},
"nvd": "{\"cve\":{\"id\":\"CVE-2023-40345\",\"sourceIdentifier\":\"jenkinsci-cert@googlegroups.com\",\"published\":\"2023-08-16T15:15:11.937\",\"lastModified\":\"2024-11-21T08:19:15.873\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Overall/Read permission to access and capture credentials they are not entitled to.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N\",\"baseScore\":6.5,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.8,\"impactScore\":3.6}]},\"weaknesses\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-522\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:jenkins:delphix:*:*:*:*:*:jenkins:*:*\",\"versionEndIncluding\":\"3.0.2\",\"matchCriteriaId\":\"681DA3E2-98DD-4822-8249-AD8E73BEBB4A\"}]}]}],\"references\":[{\"url\":\"http://www.openwall.com/lists/oss-security/2023/08/16/3\",\"source\":\"jenkinsci-cert@googlegroups.com\",\"tags\":[\"Mailing List\",\"Third Party Advisory\"]},{\"url\":\"https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture\",\"source\":\"jenkinsci-cert@googlegroups.com\"},{\"url\":\"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)\",\"source\":\"jenkinsci-cert@googlegroups.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"http://www.openwall.com/lists/oss-security/2023/08/16/3\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Mailing List\",\"Third Party Advisory\"]},{\"url\":\"https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\"},{\"url\":\"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
"vulnrichment": {
"containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)\", \"name\": \"Jenkins Security Advisory 2023-08-16\", \"tags\": [\"vendor-advisory\", \"x_transferred\"]}, {\"url\": \"http://www.openwall.com/lists/oss-security/2023/08/16/3\", \"tags\": [\"x_transferred\"]}, {\"url\": \"https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture\", \"tags\": [\"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-02T18:31:53.597Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2023-40345\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-10-08T18:28:02.685912Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-10-08T18:28:13.255Z\"}}], \"cna\": {\"affected\": [{\"vendor\": \"Jenkins Project\", \"product\": \"Jenkins Delphix Plugin\", \"versions\": [{\"status\": \"affected\", \"version\": \"0\", \"versionType\": \"maven\", \"lessThanOrEqual\": \"3.0.2\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)\", \"name\": \"Jenkins Security Advisory 2023-08-16\", \"tags\": [\"vendor-advisory\"]}, {\"url\": \"http://www.openwall.com/lists/oss-security/2023/08/16/3\"}, {\"url\": \"https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture\"}], \"descriptions\": [{\"lang\": \"en\", \"value\": \"Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Overall/Read permission to access and capture credentials they are not entitled to.\"}], \"providerMetadata\": {\"orgId\": \"39769cd5-e6e2-4dc8-927e-97b3aa056f5b\", \"shortName\": \"jenkins\", \"dateUpdated\": \"2023-10-24T12:51:29.812Z\"}}}",
"cveMetadata": "{\"cveId\": \"CVE-2023-40345\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2024-10-08T18:28:25.965Z\", \"dateReserved\": \"2023-08-14T16:02:56.436Z\", \"assignerOrgId\": \"39769cd5-e6e2-4dc8-927e-97b3aa056f5b\", \"datePublished\": \"2023-08-16T14:32:55.174Z\", \"assignerShortName\": \"jenkins\"}",
"dataType": "CVE_RECORD",
"dataVersion": "5.1"
}
}
}
FKIE_CVE-2023-40345
Vulnerability from fkie_nvd - Published: 2023-08-16 15:15 - Updated: 2024-11-21 08:19{
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:jenkins:delphix:*:*:*:*:*:jenkins:*:*",
"matchCriteriaId": "681DA3E2-98DD-4822-8249-AD8E73BEBB4A",
"versionEndIncluding": "3.0.2",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Overall/Read permission to access and capture credentials they are not entitled to."
}
],
"id": "CVE-2023-40345",
"lastModified": "2024-11-21T08:19:15.873",
"metrics": {
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 6.5,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "HIGH",
"integrityImpact": "NONE",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 3.6,
"source": "nvd@nist.gov",
"type": "Primary"
}
]
},
"published": "2023-08-16T15:15:11.937",
"references": [
{
"source": "jenkinsci-cert@googlegroups.com",
"tags": [
"Mailing List",
"Third Party Advisory"
],
"url": "http://www.openwall.com/lists/oss-security/2023/08/16/3"
},
{
"source": "jenkinsci-cert@googlegroups.com",
"url": "https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture"
},
{
"source": "jenkinsci-cert@googlegroups.com",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Mailing List",
"Third Party Advisory"
],
"url": "http://www.openwall.com/lists/oss-security/2023/08/16/3"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"url": "https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)"
}
],
"sourceIdentifier": "jenkinsci-cert@googlegroups.com",
"vulnStatus": "Modified",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "CWE-522"
}
],
"source": "nvd@nist.gov",
"type": "Primary"
}
]
}
GHSA-WWWW-XVM2-62W7
Vulnerability from github – Published: 2023-08-16 15:30 – Updated: 2023-08-16 21:08Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing the use of System-scoped credentials otherwise reserved for the global configuration.
This allows attackers with Overall/Read permission to access and capture credentials they are not entitled to.
Delphix Plugin 3.0.3 defines the appropriate context for credentials lookup.
{
"affected": [
{
"package": {
"ecosystem": "Maven",
"name": "org.jenkins-ci.plugins:delphix"
},
"ranges": [
{
"events": [
{
"introduced": "0"
},
{
"fixed": "3.0.3"
}
],
"type": "ECOSYSTEM"
}
]
}
],
"aliases": [
"CVE-2023-40345"
],
"database_specific": {
"cwe_ids": [
"CWE-522"
],
"github_reviewed": true,
"github_reviewed_at": "2023-08-16T21:08:34Z",
"nvd_published_at": "2023-08-16T15:15:11Z",
"severity": "MODERATE"
},
"details": "Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing the use of System-scoped credentials otherwise reserved for the global configuration.\n\nThis allows attackers with Overall/Read permission to access and capture credentials they are not entitled to.\n\nDelphix Plugin 3.0.3 defines the appropriate context for credentials lookup.",
"id": "GHSA-wwww-xvm2-62w7",
"modified": "2023-08-16T21:08:34Z",
"published": "2023-08-16T15:30:18Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2023-40345"
},
{
"type": "WEB",
"url": "https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture"
},
{
"type": "WEB",
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)"
},
{
"type": "WEB",
"url": "http://www.openwall.com/lists/oss-security/2023/08/16/3"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N",
"type": "CVSS_V3"
}
],
"summary": "Jenkins Delphix Plugin vulnerable to exposure of system-scoped credentials"
}
GSD-2023-40345
Vulnerability from gsd - Updated: 2023-12-13 01:20{
"GSD": {
"alias": "CVE-2023-40345",
"id": "GSD-2023-40345"
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2023-40345"
],
"details": "Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Overall/Read permission to access and capture credentials they are not entitled to.",
"id": "GSD-2023-40345",
"modified": "2023-12-13T01:20:43.912085Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "jenkinsci-cert@googlegroups.com",
"ID": "CVE-2023-40345",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "Jenkins Delphix Plugin",
"version": {
"version_data": [
{
"version_affected": "\u003c=",
"version_name": "0",
"version_value": "3.0.2"
}
]
}
}
]
},
"vendor_name": "Jenkins Project"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Overall/Read permission to access and capture credentials they are not entitled to."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "n/a"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)",
"refsource": "MISC",
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)"
},
{
"name": "http://www.openwall.com/lists/oss-security/2023/08/16/3",
"refsource": "MISC",
"url": "http://www.openwall.com/lists/oss-security/2023/08/16/3"
},
{
"name": "https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture",
"refsource": "MISC",
"url": "https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture"
}
]
}
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:jenkins:delphix:*:*:*:*:*:jenkins:*:*",
"cpe_name": [],
"versionEndIncluding": "3.0.2",
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "jenkinsci-cert@googlegroups.com",
"ID": "CVE-2023-40345"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "Jenkins Delphix Plugin 3.0.2 and earlier does not set the appropriate context for credentials lookup, allowing attackers with Overall/Read permission to access and capture credentials they are not entitled to."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-522"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)",
"refsource": "MISC",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3214%20(2)"
},
{
"name": "http://www.openwall.com/lists/oss-security/2023/08/16/3",
"refsource": "MISC",
"tags": [
"Mailing List",
"Third Party Advisory"
],
"url": "http://www.openwall.com/lists/oss-security/2023/08/16/3"
},
{
"name": "https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture",
"refsource": "MISC",
"tags": [],
"url": "https://support.delphix.com/Support_Policies_and_Technical_Bulletins/Technical_Bulletins/TB111_Delphix_Plugin_for_Jenkins_Vulnerable_to_Credential_Enumeration_and_Capture"
}
]
}
},
"impact": {
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 6.5,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "HIGH",
"integrityImpact": "NONE",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 3.6
}
},
"lastModifiedDate": "2023-10-20T03:15Z",
"publishedDate": "2023-08-16T15:15Z"
}
}
}
WID-SEC-W-2023-2088
Vulnerability from csaf_certbund - Published: 2023-08-16 22:00 - Updated: 2024-02-11 23:00Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux\n- MacOS X\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-2088 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2088.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-2088 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2088"
},
{
"category": "external",
"summary": "Jenkins Security Advisory 2023-08-16 vom 2023-08-16",
"url": "https://www.jenkins.io/security/advisory/2023-08-16/"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:0777 vom 2024-02-12",
"url": "https://access.redhat.com/errata/RHSA-2024:0777"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:0778 vom 2024-02-12",
"url": "https://access.redhat.com/errata/RHSA-2024:0778"
}
],
"source_lang": "en-US",
"title": "Jenkins: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2024-02-11T23:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:57:12.611+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-2088",
"initial_release_date": "2023-08-16T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-08-16T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2024-02-11T23:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von Red Hat aufgenommen"
}
],
"status": "final",
"version": "2"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "Plugins",
"product": {
"name": "Jenkins Jenkins Plugins",
"product_id": "T013614",
"product_identification_helper": {
"cpe": "cpe:/a:cloudbees:jenkins:plugins"
}
}
}
],
"category": "product_name",
"name": "Jenkins"
}
],
"category": "vendor",
"name": "Jenkins"
},
{
"branches": [
{
"category": "product_name",
"name": "Red Hat Enterprise Linux",
"product": {
"name": "Red Hat Enterprise Linux",
"product_id": "67646",
"product_identification_helper": {
"cpe": "cpe:/o:redhat:enterprise_linux:-"
}
}
}
],
"category": "vendor",
"name": "Red Hat"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-4303",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-4303"
},
{
"cve": "CVE-2023-4302",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-4302"
},
{
"cve": "CVE-2023-4301",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-4301"
},
{
"cve": "CVE-2023-40351",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40351"
},
{
"cve": "CVE-2023-40350",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40350"
},
{
"cve": "CVE-2023-40349",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40349"
},
{
"cve": "CVE-2023-40348",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40348"
},
{
"cve": "CVE-2023-40347",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40347"
},
{
"cve": "CVE-2023-40346",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40346"
},
{
"cve": "CVE-2023-40345",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40345"
},
{
"cve": "CVE-2023-40344",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40344"
},
{
"cve": "CVE-2023-40343",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40343"
},
{
"cve": "CVE-2023-40342",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40342"
},
{
"cve": "CVE-2023-40341",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40341"
},
{
"cve": "CVE-2023-40340",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40340"
},
{
"cve": "CVE-2023-40339",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40339"
},
{
"cve": "CVE-2023-40338",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40338"
},
{
"cve": "CVE-2023-40337",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40337"
},
{
"cve": "CVE-2023-40336",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40336"
}
]
}
Sightings
| Author | Source | Type | Date | Other |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.