Action not permitted
Modal body text goes here.
cve-2023-30527
Vulnerability from cvelistv5
Published
2023-04-12 17:05
Modified
2024-08-02 14:28
Severity
Summary
Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system.
References
| Source | URL | Tags |
|---|---|---|
| jenkinsci-cert@googlegroups.com | http://www.openwall.com/lists/oss-security/2023/04/13/3 | Mailing List, Third Party Advisory |
| jenkinsci-cert@googlegroups.com | https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992 | Vendor Advisory |
Impacted products
| Vendor | Product |
|---|---|
| Jenkins Project | Jenkins WSO2 Oauth Plugin |
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-02T14:28:51.791Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"name": "Jenkins Security Advisory 2023-04-12",
"tags": [
"vendor-advisory",
"x_transferred"
],
"url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992"
},
{
"tags": [
"x_transferred"
],
"url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
}
],
"title": "CVE Program Container"
}
],
"cna": {
"affected": [
{
"defaultStatus": "unknown",
"product": "Jenkins WSO2 Oauth Plugin",
"vendor": "Jenkins Project",
"versions": [
{
"lessThanOrEqual": "1.0",
"status": "affected",
"version": "0",
"versionType": "maven"
}
]
}
],
"descriptions": [
{
"lang": "en",
"value": "Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system."
}
],
"providerMetadata": {
"dateUpdated": "2023-10-24T12:49:49.479Z",
"orgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
"shortName": "jenkins"
},
"references": [
{
"name": "Jenkins Security Advisory 2023-04-12",
"tags": [
"vendor-advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992"
},
{
"url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
}
]
}
},
"cveMetadata": {
"assignerOrgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
"assignerShortName": "jenkins",
"cveId": "CVE-2023-30527",
"datePublished": "2023-04-12T17:05:15.700Z",
"dateReserved": "2023-04-12T08:40:40.605Z",
"dateUpdated": "2024-08-02T14:28:51.791Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"meta": {
"nvd": "{\"cve\":{\"id\":\"CVE-2023-30527\",\"sourceIdentifier\":\"jenkinsci-cert@googlegroups.com\",\"published\":\"2023-04-12T18:15:11.540\",\"lastModified\":\"2023-04-20T21:51:54.430\",\"vulnStatus\":\"Analyzed\",\"descriptions\":[{\"lang\":\"en\",\"value\":\"Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\",\"baseScore\":4.3,\"baseSeverity\":\"MEDIUM\"},\"exploitabilityScore\":2.8,\"impactScore\":1.4}]},\"weaknesses\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-312\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:jenkins:wso2_oauth:*:*:*:*:*:jenkins:*:*\",\"versionEndIncluding\":\"1.0\",\"matchCriteriaId\":\"EB3DFEA2-97B4-43FE-86E2-A46E1CEC729B\"}]}]}],\"references\":[{\"url\":\"http://www.openwall.com/lists/oss-security/2023/04/13/3\",\"source\":\"jenkinsci-cert@googlegroups.com\",\"tags\":[\"Mailing List\",\"Third Party Advisory\"]},{\"url\":\"https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992\",\"source\":\"jenkinsci-cert@googlegroups.com\",\"tags\":[\"Vendor Advisory\"]}]}}"
}
}
wid-sec-w-2023-0952
Vulnerability from csaf_certbund
Published
2023-04-12 22:00
Modified
2023-04-12 22:00
Summary
Jenkins Plugins: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung bei Softwareentwicklungen aller Art.
Angriff
Ein Angreifer kann mehrere Schwachstellen in Jenkins Plugins ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.
Betroffene Betriebssysteme
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein Angreifer kann mehrere Schwachstellen in Jenkins Plugins ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-0952 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0952.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-0952 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0952"
},
{
"category": "external",
"summary": "Jenkins Security Advisory 2023-04-12 vom 2023-04-12",
"url": "https://www.jenkins.io/security/advisory/2023-04-12/"
}
],
"source_lang": "en-US",
"title": "Jenkins Plugins: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2023-04-12T22:00:00.000+00:00",
"generator": {
"date": "2024-02-15T17:23:33.839+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.0"
}
},
"id": "WID-SEC-W-2023-0952",
"initial_release_date": "2023-04-12T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-04-12T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "Jenkins Jenkins Plugins",
"product": {
"name": "Jenkins Jenkins Plugins",
"product_id": "T013614",
"product_identification_helper": {
"cpe": "cpe:/a:cloudbees:jenkins:plugins"
}
}
}
],
"category": "vendor",
"name": "Jenkins"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-30532",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30532"
},
{
"cve": "CVE-2023-30531",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30531"
},
{
"cve": "CVE-2023-30530",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30530"
},
{
"cve": "CVE-2023-30529",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30529"
},
{
"cve": "CVE-2023-30528",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30528"
},
{
"cve": "CVE-2023-30527",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30527"
},
{
"cve": "CVE-2023-30526",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30526"
},
{
"cve": "CVE-2023-30525",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30525"
},
{
"cve": "CVE-2023-30524",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30524"
},
{
"cve": "CVE-2023-30523",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30523"
},
{
"cve": "CVE-2023-30522",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30522"
},
{
"cve": "CVE-2023-30521",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30521"
},
{
"cve": "CVE-2023-30520",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30520"
},
{
"cve": "CVE-2023-30519",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30519"
},
{
"cve": "CVE-2023-30518",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30518"
},
{
"cve": "CVE-2023-30517",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30517"
},
{
"cve": "CVE-2023-30516",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30516"
},
{
"cve": "CVE-2023-30515",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30515"
},
{
"cve": "CVE-2023-30514",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30514"
},
{
"cve": "CVE-2023-30513",
"notes": [
{
"category": "description",
"text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-04-12T22:00:00Z",
"title": "CVE-2023-30513"
}
]
}
ghsa-g472-f8cm-8x5f
Vulnerability from github
Published
2023-04-12 18:30
Modified
2023-04-12 22:19
Severity
Summary
Jenkins WSO2 Oauth Plugin stores WSO2 Oauth client secret unencrypted in global config.xml file on Jenkins controller
Details
Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller as part of its configuration.
This client secret can be viewed by users with access to the Jenkins controller file system.
Additionally, the global configuration form does not mask the WSO2 Oauth client secret, increasing the potential for attackers to observe and capture it.
{
"affected": [
{
"package": {
"ecosystem": "Maven",
"name": "org.jenkins-ci.plugins:wso2id-oauth"
},
"ranges": [
{
"events": [
{
"introduced": "0"
},
{
"last_affected": "1.0"
}
],
"type": "ECOSYSTEM"
}
]
}
],
"aliases": [
"CVE-2023-30527"
],
"database_specific": {
"cwe_ids": [
"CWE-312"
],
"github_reviewed": true,
"github_reviewed_at": "2023-04-12T22:19:04Z",
"nvd_published_at": "2023-04-12T18:15:00Z",
"severity": "LOW"
},
"details": "Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller as part of its configuration.\n\nThis client secret can be viewed by users with access to the Jenkins controller file system.\n\nAdditionally, the global configuration form does not mask the WSO2 Oauth client secret, increasing the potential for attackers to observe and capture it.",
"id": "GHSA-g472-f8cm-8x5f",
"modified": "2023-04-12T22:19:04Z",
"published": "2023-04-12T18:30:36Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2023-30527"
},
{
"type": "WEB",
"url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992"
},
{
"type": "WEB",
"url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N",
"type": "CVSS_V3"
}
],
"summary": "Jenkins WSO2 Oauth Plugin stores WSO2 Oauth client secret unencrypted in global config.xml file on Jenkins controller"
}
gsd-2023-30527
Vulnerability from gsd
Modified
2023-12-13 01:20
Details
Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system.
Aliases
Aliases
{
"GSD": {
"alias": "CVE-2023-30527",
"id": "GSD-2023-30527"
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2023-30527"
],
"details": "Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system.",
"id": "GSD-2023-30527",
"modified": "2023-12-13T01:20:52.471198Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "jenkinsci-cert@googlegroups.com",
"ID": "CVE-2023-30527",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "Jenkins WSO2 Oauth Plugin",
"version": {
"version_data": [
{
"version_affected": "\u003c=",
"version_name": "0",
"version_value": "1.0"
}
]
}
}
]
},
"vendor_name": "Jenkins Project"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "n/a"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992",
"refsource": "MISC",
"url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992"
},
{
"name": "http://www.openwall.com/lists/oss-security/2023/04/13/3",
"refsource": "MISC",
"url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
}
]
}
},
"gitlab.com": {
"advisories": [
{
"affected_range": "(,1.0]",
"affected_versions": "All versions up to 1.0",
"cwe_ids": [
"CWE-1035",
"CWE-937"
],
"date": "2023-04-12",
"description": "Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system.",
"fixed_versions": [],
"identifier": "CVE-2023-30527",
"identifiers": [
"GHSA-g472-f8cm-8x5f",
"CVE-2023-30527"
],
"not_impacted": "",
"package_slug": "maven/org.jenkins-ci.plugins/wso2id-oauth",
"pubdate": "2023-04-12",
"solution": "Unfortunately, there is no solution available yet.",
"title": "Jenkins WSO2 Oauth Plugin stores WSO2 Oauth client secret unencrypted in global config.xml file on Jenkins controller",
"urls": [
"https://nvd.nist.gov/vuln/detail/CVE-2023-30527",
"https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992",
"https://github.com/advisories/GHSA-g472-f8cm-8x5f"
],
"uuid": "2320d2fc-2ad6-49e4-944f-34e85899eb68"
}
]
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:jenkins:wso2_oauth:*:*:*:*:*:jenkins:*:*",
"cpe_name": [],
"versionEndIncluding": "1.0",
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "jenkinsci-cert@googlegroups.com",
"ID": "CVE-2023-30527"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "Jenkins WSO2 Oauth Plugin 1.0 and earlier stores the WSO2 Oauth client secret unencrypted in the global config.xml file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-312"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992",
"refsource": "MISC",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-2992"
},
{
"name": "http://www.openwall.com/lists/oss-security/2023/04/13/3",
"refsource": "MISC",
"tags": [
"Mailing List",
"Third Party Advisory"
],
"url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
}
]
}
},
"impact": {
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 4.3,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "NONE",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 1.4
}
},
"lastModifiedDate": "2023-04-20T21:51Z",
"publishedDate": "2023-04-12T18:15Z"
}
}
}
Loading...