Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2023-28676 (GCVE-0-2023-28676)
Vulnerability from cvelistv5 – Published: 2023-03-23 11:26 – Updated: 2025-02-25 19:19- CWE-652 - Improper Neutralization of Data within XQuery Expressions ('XQuery Injection')
| URL | Tags |
|---|---|
| https://www.jenkins.io/security/advisory/2023-03-… | vendor-advisory |
| Vendor | Product | Version | |
|---|---|---|---|
| Jenkins Project | Jenkins Convert To Pipeline Plugin |
Affected:
0 , ≤ 1.0
(maven)
|
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-02T13:43:23.664Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"name": "Jenkins Security Advisory 2023-03-21",
"tags": [
"vendor-advisory",
"x_transferred"
],
"url": "https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963"
}
],
"title": "CVE Program Container"
},
{
"metrics": [
{
"cvssV3_1": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.8,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H",
"version": "3.1"
}
},
{
"other": {
"content": {
"id": "CVE-2023-28676",
"options": [
{
"Exploitation": "none"
},
{
"Automatable": "no"
},
{
"Technical Impact": "total"
}
],
"role": "CISA Coordinator",
"timestamp": "2025-02-25T19:19:53.270882Z",
"version": "2.0.3"
},
"type": "ssvc"
}
}
],
"problemTypes": [
{
"descriptions": [
{
"cweId": "CWE-652",
"description": "CWE-652 Improper Neutralization of Data within XQuery Expressions (\u0027XQuery Injection\u0027)",
"lang": "en",
"type": "CWE"
}
]
}
],
"providerMetadata": {
"dateUpdated": "2025-02-25T19:19:58.214Z",
"orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"shortName": "CISA-ADP"
},
"title": "CISA ADP Vulnrichment"
}
],
"cna": {
"affected": [
{
"defaultStatus": "unknown",
"product": "Jenkins Convert To Pipeline Plugin",
"vendor": "Jenkins Project",
"versions": [
{
"lessThanOrEqual": "1.0",
"status": "affected",
"version": "0",
"versionType": "maven"
}
]
}
],
"descriptions": [
{
"lang": "en",
"value": "A cross-site request forgery (CSRF) vulnerability in Jenkins Convert To Pipeline Plugin 1.0 and earlier allows attackers to create a Pipeline based on a Freestyle project, potentially leading to remote code execution (RCE)."
}
],
"providerMetadata": {
"dateUpdated": "2023-10-24T12:49:21.581Z",
"orgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
"shortName": "jenkins"
},
"references": [
{
"name": "Jenkins Security Advisory 2023-03-21",
"tags": [
"vendor-advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963"
}
]
}
},
"cveMetadata": {
"assignerOrgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
"assignerShortName": "jenkins",
"cveId": "CVE-2023-28676",
"datePublished": "2023-03-23T11:26:05.301Z",
"dateReserved": "2023-03-20T19:59:08.757Z",
"dateUpdated": "2025-02-25T19:19:58.214Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"epss": {
"cve": "CVE-2023-28676",
"date": "2026-06-27",
"epss": "0.0064",
"percentile": "0.46094"
},
"nvd": "{\"cve\":{\"id\":\"CVE-2023-28676\",\"sourceIdentifier\":\"jenkinsci-cert@googlegroups.com\",\"published\":\"2023-04-02T21:15:09.117\",\"lastModified\":\"2026-06-17T05:48:32.047\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"A cross-site request forgery (CSRF) vulnerability in Jenkins Convert To Pipeline Plugin 1.0 and earlier allows attackers to create a Pipeline based on a Freestyle project, potentially leading to remote code execution (RCE).\"}],\"affected\":[{\"source\":\"jenkinsci-cert@googlegroups.com\",\"affectedData\":[{\"vendor\":\"Jenkins Project\",\"product\":\"Jenkins Convert To Pipeline Plugin\",\"defaultStatus\":\"unknown\",\"versions\":[{\"version\":\"0\",\"lessThanOrEqual\":\"1.0\",\"versionType\":\"maven\",\"status\":\"affected\"}]}]}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H\",\"baseScore\":8.8,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"REQUIRED\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":2.8,\"impactScore\":5.9},{\"source\":\"134c704f-9b21-4f2e-91b3-4a467353bcc0\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H\",\"baseScore\":8.8,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"REQUIRED\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":2.8,\"impactScore\":5.9}],\"ssvcV203\":[{\"source\":\"134c704f-9b21-4f2e-91b3-4a467353bcc0\",\"ssvcData\":{\"timestamp\":\"2025-02-25T19:19:53.270882Z\",\"id\":\"CVE-2023-28676\",\"options\":[{\"exploitation\":\"none\"},{\"automatable\":\"no\"},{\"technicalImpact\":\"total\"}],\"role\":\"CISA Coordinator\",\"version\":\"2.0.3\"}}]},\"weaknesses\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-352\"}]},{\"source\":\"134c704f-9b21-4f2e-91b3-4a467353bcc0\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-652\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:jenkins:convert_to_pipeline:*:*:*:*:*:jenkins:*:*\",\"versionEndIncluding\":\"1.0\",\"matchCriteriaId\":\"755E233E-6577-4EB2-B143-38E08F367940\"}]}]}],\"references\":[{\"url\":\"https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963\",\"source\":\"jenkinsci-cert@googlegroups.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
"vulnrichment": {
"containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963\", \"name\": \"Jenkins Security Advisory 2023-03-21\", \"tags\": [\"vendor-advisory\", \"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-02T13:43:23.664Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"cvssV3_1\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 8.8, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"HIGH\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H\", \"integrityImpact\": \"HIGH\", \"userInteraction\": \"REQUIRED\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"HIGH\", \"privilegesRequired\": \"NONE\", \"confidentialityImpact\": \"HIGH\"}}, {\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2023-28676\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"total\"}], \"version\": \"2.0.3\", \"timestamp\": \"2025-02-25T19:19:53.270882Z\"}}}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"en\", \"type\": \"CWE\", \"cweId\": \"CWE-652\", \"description\": \"CWE-652 Improper Neutralization of Data within XQuery Expressions (\u0027XQuery Injection\u0027)\"}]}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2025-02-25T19:19:48.828Z\"}}], \"cna\": {\"affected\": [{\"vendor\": \"Jenkins Project\", \"product\": \"Jenkins Convert To Pipeline Plugin\", \"versions\": [{\"status\": \"affected\", \"version\": \"0\", \"versionType\": \"maven\", \"lessThanOrEqual\": \"1.0\"}], \"defaultStatus\": \"unknown\"}], \"references\": [{\"url\": \"https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963\", \"name\": \"Jenkins Security Advisory 2023-03-21\", \"tags\": [\"vendor-advisory\"]}], \"descriptions\": [{\"lang\": \"en\", \"value\": \"A cross-site request forgery (CSRF) vulnerability in Jenkins Convert To Pipeline Plugin 1.0 and earlier allows attackers to create a Pipeline based on a Freestyle project, potentially leading to remote code execution (RCE).\"}], \"providerMetadata\": {\"orgId\": \"39769cd5-e6e2-4dc8-927e-97b3aa056f5b\", \"shortName\": \"jenkins\", \"dateUpdated\": \"2023-10-24T12:49:21.581Z\"}}}",
"cveMetadata": "{\"cveId\": \"CVE-2023-28676\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2025-02-25T19:19:58.214Z\", \"dateReserved\": \"2023-03-20T19:59:08.757Z\", \"assignerOrgId\": \"39769cd5-e6e2-4dc8-927e-97b3aa056f5b\", \"datePublished\": \"2023-03-23T11:26:05.301Z\", \"assignerShortName\": \"jenkins\"}",
"dataType": "CVE_RECORD",
"dataVersion": "5.1"
}
}
}
{
"CVSS 2.0": "AV:N/AC:L/Au:N/C:N/I:P/A:N",
"CVSS 3.0": "AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N",
"CVSS 4.0": null,
"remediation_\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": null,
"remediation_\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435": null,
"\u0412\u0435\u043d\u0434\u043e\u0440 \u041f\u041e": "\u0421\u043e\u043e\u0431\u0449\u0435\u0441\u0442\u0432\u043e \u0441\u0432\u043e\u0431\u043e\u0434\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f",
"\u0412\u0435\u0440\u0441\u0438\u044f \u041f\u041e": "1.0 (Convert To Pipeline Plugin)",
"\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u043c\u0435\u0440\u044b \u043f\u043e \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e": "\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0439 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044f:\nhttp://jenkins.io/security/advisory/2023-03-21/",
"\u0414\u0430\u0442\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0438\u044f": "20.03.2023",
"\u0414\u0430\u0442\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f": "10.04.2023",
"\u0414\u0430\u0442\u0430 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438": "10.04.2023",
"\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": "BDU:2023-01935",
"\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "CVE-2023-28676",
"\u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0430",
"\u041a\u043b\u0430\u0441\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043a\u043e\u0434\u0430",
"\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u041f\u041e": "Convert To Pipeline Plugin",
"\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u041e\u0421 \u0438 \u0442\u0438\u043f \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0439 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u044b": null,
"\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u043b\u0430\u0433\u0438\u043d\u0430 Convert To Pipeline Plugin, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0441 \u043f\u043e\u0434\u0434\u0435\u043b\u043a\u043e\u0439 \u043c\u0435\u0436\u0441\u0430\u0439\u0442\u043e\u0432\u044b\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0439 \u043a\u043e\u0434",
"\u041d\u0430\u043b\u0438\u0447\u0438\u0435 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430": "\u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0442\u043e\u0447\u043d\u044f\u044e\u0442\u0441\u044f",
"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "\u041c\u0435\u0436\u0441\u0430\u0439\u0442\u043e\u0432\u0430\u044f \u0444\u0430\u043b\u044c\u0441\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 (CWE-352)",
"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u043b\u0430\u0433\u0438\u043d\u0430 Convert To Pipeline Plugin \u0441\u0432\u044f\u0437\u0430\u043d\u0430 \u0441 \u043f\u043e\u0434\u0434\u0435\u043b\u043a\u043e\u0439 \u043c\u0435\u0436\u0441\u0430\u0439\u0442\u043e\u0432\u044b\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432. \u042d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442\u044c \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e, \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u043c\u0443 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e, \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0439 \u043a\u043e\u0434 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u043e\u0439 \u0432\u0435\u0431-\u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b",
"\u041f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": null,
"\u041f\u0440\u043e\u0447\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f": null,
"\u0421\u0432\u044f\u0437\u044c \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u043c\u0438 \u0418\u0411": "\u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0442\u043e\u0447\u043d\u044f\u044e\u0442\u0441\u044f",
"\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d\u0430",
"\u0421\u043f\u043e\u0441\u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f": "\u041e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f",
"\u0421\u043f\u043e\u0441\u043e\u0431 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438": "\u041f\u043e\u0434\u043c\u0435\u043d\u0430 \u043f\u0440\u0438 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0438",
"\u0421\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438": "http://jenkins.io/security/advisory/2023-03-21/\nhttps://www.cybersecurity-help.cz/vdb/SB2023032220",
"\u0421\u0442\u0430\u0442\u0443\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0430 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u043c",
"\u0422\u0438\u043f \u041f\u041e": "\u041f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u043e\u0435 \u041f\u041e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c",
"\u0422\u0438\u043f \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "CWE-352",
"\u0423\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0421\u0440\u0435\u0434\u043d\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 2.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 5)\n\u0421\u0440\u0435\u0434\u043d\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 3.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 4,3)"
}
FKIE_CVE-2023-28676
Vulnerability from fkie_nvd - Published: 2023-04-02 21:15 - Updated: 2026-06-17 05:488.8 (High) - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
| Vendor | Product | Version | |
|---|---|---|---|
| jenkins | convert_to_pipeline | * |
{
"affected": [
{
"affectedData": [
{
"defaultStatus": "unknown",
"product": "Jenkins Convert To Pipeline Plugin",
"vendor": "Jenkins Project",
"versions": [
{
"lessThanOrEqual": "1.0",
"status": "affected",
"version": "0",
"versionType": "maven"
}
]
}
],
"source": "jenkinsci-cert@googlegroups.com"
}
],
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:jenkins:convert_to_pipeline:*:*:*:*:*:jenkins:*:*",
"matchCriteriaId": "755E233E-6577-4EB2-B143-38E08F367940",
"versionEndIncluding": "1.0",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "A cross-site request forgery (CSRF) vulnerability in Jenkins Convert To Pipeline Plugin 1.0 and earlier allows attackers to create a Pipeline based on a Freestyle project, potentially leading to remote code execution (RCE)."
}
],
"id": "CVE-2023-28676",
"lastModified": "2026-06-17T05:48:32.047",
"metrics": {
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.8,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 5.9,
"source": "nvd@nist.gov",
"type": "Primary"
},
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.8,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 5.9,
"source": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"type": "Secondary"
}
],
"ssvcV203": [
{
"source": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"ssvcData": {
"id": "CVE-2023-28676",
"options": [
{
"exploitation": "none"
},
{
"automatable": "no"
},
{
"technicalImpact": "total"
}
],
"role": "CISA Coordinator",
"timestamp": "2025-02-25T19:19:53.270882Z",
"version": "2.0.3"
}
}
]
},
"published": "2023-04-02T21:15:09.117",
"references": [
{
"source": "jenkinsci-cert@googlegroups.com",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963"
}
],
"sourceIdentifier": "jenkinsci-cert@googlegroups.com",
"vulnStatus": "Modified",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "CWE-352"
}
],
"source": "nvd@nist.gov",
"type": "Primary"
},
{
"description": [
{
"lang": "en",
"value": "CWE-652"
}
],
"source": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"type": "Secondary"
}
]
}
GHSA-48G9-H7G5-8PW2
Vulnerability from github – Published: 2023-04-02 21:30 – Updated: 2025-02-25 21:41Convert To Pipeline Plugin 1.0 and earlier does not require POST requests for the HTTP endpoint converting a Freestyle project to Pipeline, resulting in a cross-site request forgery (CSRF) vulnerability.
This vulnerability allows attackers to create a Pipeline based on a Freestyle project. Combined with SECURITY-2966/CVE-2023-28677, this can result in the execution of unsandboxed Pipeline scripts.
{
"affected": [
{
"package": {
"ecosystem": "Maven",
"name": "org.jenkins-ci.plugins:convert-to-pipeline"
},
"ranges": [
{
"events": [
{
"introduced": "0"
},
{
"last_affected": "1.0"
}
],
"type": "ECOSYSTEM"
}
]
}
],
"aliases": [
"CVE-2023-28676"
],
"database_specific": {
"cwe_ids": [
"CWE-352",
"CWE-652"
],
"github_reviewed": true,
"github_reviewed_at": "2023-04-04T17:37:11Z",
"nvd_published_at": "2023-04-02T21:15:00Z",
"severity": "HIGH"
},
"details": "Convert To Pipeline Plugin 1.0 and earlier does not require POST requests for the HTTP endpoint converting a Freestyle project to Pipeline, resulting in a cross-site request forgery (CSRF) vulnerability.\n\nThis vulnerability allows attackers to create a Pipeline based on a Freestyle project. Combined with [SECURITY-2966](https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2966)/CVE-2023-28677, this can result in the execution of unsandboxed Pipeline scripts.",
"id": "GHSA-48g9-h7g5-8pw2",
"modified": "2025-02-25T21:41:03Z",
"published": "2023-04-02T21:30:17Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2023-28676"
},
{
"type": "PACKAGE",
"url": "https://github.com/jenkinsci/octoperf-plugin"
},
{
"type": "WEB",
"url": "https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H",
"type": "CVSS_V3"
}
],
"summary": "Jenkins Convert To Pipeline Plugin vulnerable to cross-site request forgery"
}
GSD-2023-28676
Vulnerability from gsd - Updated: 2023-12-13 01:20{
"GSD": {
"alias": "CVE-2023-28676",
"id": "GSD-2023-28676"
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2023-28676"
],
"details": "A cross-site request forgery (CSRF) vulnerability in Jenkins Convert To Pipeline Plugin 1.0 and earlier allows attackers to create a Pipeline based on a Freestyle project, potentially leading to remote code execution (RCE).",
"id": "GSD-2023-28676",
"modified": "2023-12-13T01:20:47.009973Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "jenkinsci-cert@googlegroups.com",
"ID": "CVE-2023-28676",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "Jenkins Convert To Pipeline Plugin",
"version": {
"version_data": [
{
"version_affected": "\u003c=",
"version_name": "0",
"version_value": "1.0"
}
]
}
}
]
},
"vendor_name": "Jenkins Project"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "A cross-site request forgery (CSRF) vulnerability in Jenkins Convert To Pipeline Plugin 1.0 and earlier allows attackers to create a Pipeline based on a Freestyle project, potentially leading to remote code execution (RCE)."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "n/a"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963",
"refsource": "MISC",
"url": "https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963"
}
]
}
},
"gitlab.com": {
"advisories": [
{
"affected_range": "(,1.0]",
"affected_versions": "All versions up to 1.0",
"cvss_v3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H",
"cwe_ids": [
"CWE-1035",
"CWE-352",
"CWE-352",
"CWE-937"
],
"date": "2023-04-12",
"description": "A cross-site request forgery (CSRF) vulnerability in Jenkins Convert To Pipeline Plugin 1.0 and earlier allows attackers to create a Pipeline based on a Freestyle project, potentially leading to remote code execution (RCE).",
"fixed_versions": [],
"identifier": "CVE-2023-28676",
"identifiers": [
"GHSA-48g9-h7g5-8pw2",
"CVE-2023-28676"
],
"not_impacted": "",
"package_slug": "maven/org.jenkins-ci.plugins/convert-to-pipeline",
"pubdate": "2023-04-02",
"solution": "Unfortunately, there is no solution available yet.",
"title": "Cross-Site Request Forgery (CSRF)",
"urls": [
"https://nvd.nist.gov/vuln/detail/CVE-2023-28676",
"https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963",
"https://github.com/advisories/GHSA-48g9-h7g5-8pw2"
],
"uuid": "9f71e73e-8e04-4687-8c06-775e1855e8d0"
}
]
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:jenkins:convert_to_pipeline:*:*:*:*:*:jenkins:*:*",
"cpe_name": [],
"versionEndIncluding": "1.0",
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "jenkinsci-cert@googlegroups.com",
"ID": "CVE-2023-28676"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "A cross-site request forgery (CSRF) vulnerability in Jenkins Convert To Pipeline Plugin 1.0 and earlier allows attackers to create a Pipeline based on a Freestyle project, potentially leading to remote code execution (RCE)."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-352"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963",
"refsource": "MISC",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-2963"
}
]
}
},
"impact": {
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "HIGH",
"baseScore": 8.8,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 5.9
}
},
"lastModifiedDate": "2023-04-08T02:48Z",
"publishedDate": "2023-04-02T21:15Z"
}
}
}
WID-SEC-W-2023-0704
Vulnerability from csaf_certbund - Published: 2023-03-21 23:00 - Updated: 2023-03-21 23:00Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a³, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungsprüfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion.
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Jenkins Jenkins Plugins
Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
— |
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-0704 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0704.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-0704 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0704"
},
{
"category": "external",
"summary": "Jenkins Security Advisory 2023-03-21 vom 2023-03-21",
"url": "https://www.jenkins.io/security/advisory/2023-03-21/"
}
],
"source_lang": "en-US",
"title": "Jenkins Plugins: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2023-03-21T23:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:47:02.162+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-0704",
"initial_release_date": "2023-03-21T23:00:00.000+00:00",
"revision_history": [
{
"date": "2023-03-21T23:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "Jenkins Jenkins Plugins",
"product": {
"name": "Jenkins Jenkins Plugins",
"product_id": "T013614",
"product_identification_helper": {
"cpe": "cpe:/a:cloudbees:jenkins:plugins"
}
}
}
],
"category": "vendor",
"name": "Jenkins"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-28685",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28685"
},
{
"cve": "CVE-2023-28684",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28684"
},
{
"cve": "CVE-2023-28683",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28683"
},
{
"cve": "CVE-2023-28682",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28682"
},
{
"cve": "CVE-2023-28681",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28681"
},
{
"cve": "CVE-2023-28680",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28680"
},
{
"cve": "CVE-2023-28679",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28679"
},
{
"cve": "CVE-2023-28678",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28678"
},
{
"cve": "CVE-2023-28677",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28677"
},
{
"cve": "CVE-2023-28676",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28676"
},
{
"cve": "CVE-2023-28675",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28675"
},
{
"cve": "CVE-2023-28674",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28674"
},
{
"cve": "CVE-2023-28673",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28673"
},
{
"cve": "CVE-2023-28672",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28672"
},
{
"cve": "CVE-2023-28671",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28671"
},
{
"cve": "CVE-2023-28670",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28670"
},
{
"cve": "CVE-2023-28669",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28669"
},
{
"cve": "CVE-2023-28668",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Der Fehler besteht in den Plugins AbsInt a\u00b3, Convert To Pipeline, Cppcheck, Crap4J, JaCoCo, Mashup Portlets, OctoPerf Load Testing, Performance Publisher, Phabricator Differential, Pipeline Aggregator View, remote-jobs-view-plugin, Role-based Authorization Strategy und Visual Studio Code Metrics, unter anderem aufgrund mehrerer fehlgeschlagener Berechtigungspr\u00fcfungen, Cross-Site Request Forgery und XML External Entity Attacken. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"T013614"
]
},
"release_date": "2023-03-21T23:00:00.000+00:00",
"title": "CVE-2023-28668"
}
]
}
Sightings
| Author | Source | Type | Date | Other |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.