Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2023-4301 (GCVE-0-2023-4301)
Vulnerability from cvelistv5 – Published: 2023-08-21 22:34 – Updated: 2024-10-01 17:51
VLAI
EPSS
Title
CSRF vulnerability in Fortify Plugin allow capturing credentials
Summary
A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.
Severity
4.2 (Medium)
CWE
- CWE-352 - Cross-Site Request Forgery (CSRF)
Assigner
References
1 reference
| URL | Tags |
|---|---|
| https://www.jenkins.io/security/advisory/2023-08-… | vendor-advisory |
Impacted products
1 product
| Vendor | Product | Version | |
|---|---|---|---|
| Jenkins Project | Jenkins Fortify Plugin |
Affected:
0 , ≤ 22.1.38
(maven)
|
Date Public
2023-08-16 07:00
Credits
Alvaro Muñoz (@pwntester), GitHub Security Lab
Kevin Guerroudj, CloudBees, Inc.
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-02T07:24:04.610Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"name": "Jenkins Security Advisory 2023-08-16",
"tags": [
"vendor-advisory",
"x_transferred"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115"
}
],
"title": "CVE Program Container"
},
{
"metrics": [
{
"other": {
"content": {
"id": "CVE-2023-4301",
"options": [
{
"Exploitation": "none"
},
{
"Automatable": "no"
},
{
"Technical Impact": "partial"
}
],
"role": "CISA Coordinator",
"timestamp": "2024-10-01T17:42:47.588904Z",
"version": "2.0.3"
},
"type": "ssvc"
}
}
],
"providerMetadata": {
"dateUpdated": "2024-10-01T17:51:15.079Z",
"orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
"shortName": "CISA-ADP"
},
"title": "CISA ADP Vulnrichment"
}
],
"cna": {
"affected": [
{
"defaultStatus": "unaffected",
"product": "Jenkins Fortify Plugin",
"vendor": "Jenkins Project",
"versions": [
{
"lessThanOrEqual": "22.1.38",
"status": "affected",
"version": "0",
"versionType": "maven"
}
]
}
],
"credits": [
{
"lang": "en",
"type": "finder",
"user": "00000000-0000-4000-9000-000000000000",
"value": "Alvaro Mu\u00f1oz (@pwntester), GitHub Security Lab"
},
{
"lang": "en",
"type": "finder",
"user": "00000000-0000-4000-9000-000000000000",
"value": "Kevin Guerroudj, CloudBees, Inc."
}
],
"datePublic": "2023-08-16T07:00:00.000Z",
"descriptions": [
{
"lang": "en",
"supportingMedia": [
{
"base64": false,
"type": "text/html",
"value": "\u003cp\u003eA cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\u003c/p\u003e"
}
],
"value": "A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\n\n"
}
],
"metrics": [
{
"cvssV3_1": {
"attackComplexity": "HIGH",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 4.2,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N",
"version": "3.1"
},
"format": "CVSS",
"scenarios": [
{
"lang": "en",
"value": "GENERAL"
}
]
}
],
"problemTypes": [
{
"descriptions": [
{
"cweId": "CWE-352",
"description": "CWE-352 Cross-Site Request Forgery (CSRF)",
"lang": "en",
"type": "CWE"
}
]
}
],
"providerMetadata": {
"dateUpdated": "2023-08-21T22:34:37.786Z",
"orgId": "f81092c5-7f14-476d-80dc-24857f90be84",
"shortName": "OpenText"
},
"references": [
{
"name": "Jenkins Security Advisory 2023-08-16",
"tags": [
"vendor-advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115"
}
],
"source": {
"discovery": "UNKNOWN"
},
"title": "CSRF vulnerability in Fortify Plugin allow capturing credentials",
"x_generator": {
"engine": "Vulnogram 0.1.0-dev"
}
}
},
"cveMetadata": {
"assignerOrgId": "f81092c5-7f14-476d-80dc-24857f90be84",
"assignerShortName": "OpenText",
"cveId": "CVE-2023-4301",
"datePublished": "2023-08-21T22:34:37.786Z",
"dateReserved": "2023-08-10T21:30:57.020Z",
"dateUpdated": "2024-10-01T17:51:15.079Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"epss": {
"cve": "CVE-2023-4301",
"date": "2026-05-29",
"epss": "0.00214",
"percentile": "0.43949"
},
"nvd": "{\"cve\":{\"id\":\"CVE-2023-4301\",\"sourceIdentifier\":\"security@opentext.com\",\"published\":\"2023-08-21T23:15:09.107\",\"lastModified\":\"2024-11-21T08:34:49.050\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\\n\\n\"},{\"lang\":\"es\",\"value\":\"Una vulnerabilidad de falsificaci\u00f3n de solicitud de sitio cruzado (CSRF) en Jenkins Fortify Plugin 22.1.38 y anteriores permite a los atacantes conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a trav\u00e9s de otro m\u00e9todo, capturando credenciales almacenadas en Jenkins.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"security@opentext.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N\",\"baseScore\":4.2,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"HIGH\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":1.6,\"impactScore\":2.5},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N\",\"baseScore\":5.4,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"REQUIRED\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.8,\"impactScore\":2.5}]},\"weaknesses\":[{\"source\":\"security@opentext.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-352\"}]},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-352\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:jenkins:fortify:*:*:*:*:*:jenkins:*:*\",\"versionEndExcluding\":\"22.2.39\",\"matchCriteriaId\":\"01FD7885-6F4B-49B8-AEA6-CC12328387EA\"}]}]}],\"references\":[{\"url\":\"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115\",\"source\":\"security@opentext.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
"vulnrichment": {
"containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115\", \"name\": \"Jenkins Security Advisory 2023-08-16\", \"tags\": [\"vendor-advisory\", \"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-02T07:24:04.610Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2023-4301\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"no\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2024-10-01T17:42:47.588904Z\"}}}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2024-10-01T17:51:09.021Z\"}}], \"cna\": {\"title\": \"CSRF vulnerability in Fortify Plugin allow capturing credentials\", \"source\": {\"discovery\": \"UNKNOWN\"}, \"credits\": [{\"lang\": \"en\", \"type\": \"finder\", \"user\": \"00000000-0000-4000-9000-000000000000\", \"value\": \"Alvaro Mu\\u00f1oz (@pwntester), GitHub Security Lab\"}, {\"lang\": \"en\", \"type\": \"finder\", \"user\": \"00000000-0000-4000-9000-000000000000\", \"value\": \"Kevin Guerroudj, CloudBees, Inc.\"}], \"metrics\": [{\"format\": \"CVSS\", \"cvssV3_1\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 4.2, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"MEDIUM\", \"vectorString\": \"CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N\", \"integrityImpact\": \"LOW\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"HIGH\", \"availabilityImpact\": \"NONE\", \"privilegesRequired\": \"LOW\", \"confidentialityImpact\": \"LOW\"}, \"scenarios\": [{\"lang\": \"en\", \"value\": \"GENERAL\"}]}], \"affected\": [{\"vendor\": \"Jenkins Project\", \"product\": \"Jenkins Fortify Plugin\", \"versions\": [{\"status\": \"affected\", \"version\": \"0\", \"versionType\": \"maven\", \"lessThanOrEqual\": \"22.1.38\"}], \"defaultStatus\": \"unaffected\"}], \"datePublic\": \"2023-08-16T07:00:00.000Z\", \"references\": [{\"url\": \"https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115\", \"name\": \"Jenkins Security Advisory 2023-08-16\", \"tags\": [\"vendor-advisory\"]}], \"x_generator\": {\"engine\": \"Vulnogram 0.1.0-dev\"}, \"descriptions\": [{\"lang\": \"en\", \"value\": \"A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\\n\\n\", \"supportingMedia\": [{\"type\": \"text/html\", \"value\": \"\u003cp\u003eA cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\u003c/p\u003e\", \"base64\": false}]}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"en\", \"type\": \"CWE\", \"cweId\": \"CWE-352\", \"description\": \"CWE-352 Cross-Site Request Forgery (CSRF)\"}]}], \"providerMetadata\": {\"orgId\": \"f81092c5-7f14-476d-80dc-24857f90be84\", \"shortName\": \"OpenText\", \"dateUpdated\": \"2023-08-21T22:34:37.786Z\"}}}",
"cveMetadata": "{\"cveId\": \"CVE-2023-4301\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2024-10-01T17:51:15.079Z\", \"dateReserved\": \"2023-08-10T21:30:57.020Z\", \"assignerOrgId\": \"f81092c5-7f14-476d-80dc-24857f90be84\", \"datePublished\": \"2023-08-21T22:34:37.786Z\", \"assignerShortName\": \"OpenText\"}",
"dataType": "CVE_RECORD",
"dataVersion": "5.1"
}
}
}
Title
Уязвимость плагина Jenkins Fortify Plugin, связанная с недостаточной проверкой подлинности выполняемых запросов, позволяющая нарушителю осуществить CSRF-атаку
Description
Уязвимость плагина Jenkins Fortify Plugin связана с недостаточной проверкой подлинности выполняемых запросов. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, осуществить CSRF-атаку
Severity
Vendor
Jenkins
Software Name
Fortify
Software Version
до 22.2.39 (Fortify)
Possible Mitigations
Использование рекомендаций:
https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115
Reference
https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115
CWE
CWE-352
{
"CVSS 2.0": "AV:N/AC:L/Au:N/C:P/I:P/A:N",
"CVSS 3.0": "AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N",
"CVSS 4.0": null,
"remediation_\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": null,
"remediation_\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435": null,
"\u0412\u0435\u043d\u0434\u043e\u0440 \u041f\u041e": "Jenkins",
"\u0412\u0435\u0440\u0441\u0438\u044f \u041f\u041e": "\u0434\u043e 22.2.39 (Fortify)",
"\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u043c\u0435\u0440\u044b \u043f\u043e \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e": "\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0439:\nhttps://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115",
"\u0414\u0430\u0442\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0438\u044f": "21.08.2023",
"\u0414\u0430\u0442\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f": "14.10.2023",
"\u0414\u0430\u0442\u0430 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438": "14.10.2023",
"\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": "BDU:2023-06725",
"\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "CVE-2023-4301",
"\u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0430",
"\u041a\u043b\u0430\u0441\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043a\u043e\u0434\u0430",
"\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u041f\u041e": "Fortify",
"\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u041e\u0421 \u0438 \u0442\u0438\u043f \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0439 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u044b": null,
"\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u043b\u0430\u0433\u0438\u043d\u0430 Jenkins Fortify Plugin, \u0441\u0432\u044f\u0437\u0430\u043d\u043d\u0430\u044f \u0441 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e\u0439 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u043e\u0439 \u043f\u043e\u0434\u043b\u0438\u043d\u043d\u043e\u0441\u0442\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0438\u0442\u044c CSRF-\u0430\u0442\u0430\u043a\u0443",
"\u041d\u0430\u043b\u0438\u0447\u0438\u0435 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430": "\u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0442\u043e\u0447\u043d\u044f\u044e\u0442\u0441\u044f",
"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "\u041c\u0435\u0436\u0441\u0430\u0439\u0442\u043e\u0432\u0430\u044f \u0444\u0430\u043b\u044c\u0441\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 (CWE-352)",
"\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043f\u043b\u0430\u0433\u0438\u043d\u0430 Jenkins Fortify Plugin \u0441\u0432\u044f\u0437\u0430\u043d\u0430 \u0441 \u043d\u0435\u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e\u0439 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u043e\u0439 \u043f\u043e\u0434\u043b\u0438\u043d\u043d\u043e\u0441\u0442\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432. \u042d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442\u044c \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e , \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u043c\u0443 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e, \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0438\u0442\u044c CSRF-\u0430\u0442\u0430\u043a\u0443",
"\u041f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": null,
"\u041f\u0440\u043e\u0447\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f": null,
"\u0421\u0432\u044f\u0437\u044c \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u043c\u0438 \u0418\u0411": "\u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0442\u043e\u0447\u043d\u044f\u044e\u0442\u0441\u044f",
"\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d\u0430",
"\u0421\u043f\u043e\u0441\u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f": "\u041e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f",
"\u0421\u043f\u043e\u0441\u043e\u0431 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438": "\u041f\u043e\u0434\u043c\u0435\u043d\u0430 \u043f\u0440\u0438 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0438",
"\u0421\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115",
"\u0421\u0442\u0430\u0442\u0443\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0430 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u043c",
"\u0422\u0438\u043f \u041f\u041e": "\u041f\u0440\u0438\u043a\u043b\u0430\u0434\u043d\u043e\u0435 \u041f\u041e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0441\u0438\u0441\u0442\u0435\u043c",
"\u0422\u0438\u043f \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "CWE-352",
"\u0423\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0421\u0440\u0435\u0434\u043d\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 2.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 6,4)\n\u0421\u0440\u0435\u0434\u043d\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 3.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 5,4)"
}
FKIE_CVE-2023-4301
Vulnerability from fkie_nvd - Published: 2023-08-21 23:15 - Updated: 2024-11-21 08:34
Severity
4.2 (Medium) - CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
5.4 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
5.4 (Medium) - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
Summary
A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.
References
{
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:jenkins:fortify:*:*:*:*:*:jenkins:*:*",
"matchCriteriaId": "01FD7885-6F4B-49B8-AEA6-CC12328387EA",
"versionEndExcluding": "22.2.39",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\n\n"
},
{
"lang": "es",
"value": "Una vulnerabilidad de falsificaci\u00f3n de solicitud de sitio cruzado (CSRF) en Jenkins Fortify Plugin 22.1.38 y anteriores permite a los atacantes conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a trav\u00e9s de otro m\u00e9todo, capturando credenciales almacenadas en Jenkins."
}
],
"id": "CVE-2023-4301",
"lastModified": "2024-11-21T08:34:49.050",
"metrics": {
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "HIGH",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 4.2,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N",
"version": "3.1"
},
"exploitabilityScore": 1.6,
"impactScore": 2.5,
"source": "security@opentext.com",
"type": "Secondary"
},
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 5.4,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 2.5,
"source": "nvd@nist.gov",
"type": "Primary"
}
]
},
"published": "2023-08-21T23:15:09.107",
"references": [
{
"source": "security@opentext.com",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115"
}
],
"sourceIdentifier": "security@opentext.com",
"vulnStatus": "Modified",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "CWE-352"
}
],
"source": "security@opentext.com",
"type": "Secondary"
},
{
"description": [
{
"lang": "en",
"value": "CWE-352"
}
],
"source": "nvd@nist.gov",
"type": "Primary"
}
]
}
GHSA-3FJV-8R82-6XM9
Vulnerability from github – Published: 2023-08-22 00:31 – Updated: 2023-08-22 17:54
VLAI
Summary
Jenkins Fortify Plugin cross-site request forgery vulnerability
Details
Jenkins Fortify Plugin 22.1.38 and earlier does not perform permission checks in several HTTP endpoints.
This allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.
Additionally, these HTTP endpoints do not require POST requests, resulting in a cross-site request forgery (CSRF) vulnerability.
Fortify Plugin 22.2.39 requires POST requests and the appropriate permissions for the affected HTTP endpoints.
Severity
4.2 (Medium)
{
"affected": [
{
"database_specific": {
"last_known_affected_version_range": "\u003c= 22.1.38"
},
"package": {
"ecosystem": "Maven",
"name": "org.jenkins-ci.plugins:fortify"
},
"ranges": [
{
"events": [
{
"introduced": "0"
},
{
"fixed": "22.2.39"
}
],
"type": "ECOSYSTEM"
}
]
}
],
"aliases": [
"CVE-2023-4301"
],
"database_specific": {
"cwe_ids": [
"CWE-352"
],
"github_reviewed": true,
"github_reviewed_at": "2023-08-22T17:54:44Z",
"nvd_published_at": "2023-08-21T23:15:09Z",
"severity": "MODERATE"
},
"details": "Jenkins Fortify Plugin 22.1.38 and earlier does not perform permission checks in several HTTP endpoints.\n\nThis allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\n\nAdditionally, these HTTP endpoints do not require POST requests, resulting in a cross-site request forgery (CSRF) vulnerability.\n\nFortify Plugin 22.2.39 requires POST requests and the appropriate permissions for the affected HTTP endpoints.",
"id": "GHSA-3fjv-8r82-6xm9",
"modified": "2023-08-22T17:54:44Z",
"published": "2023-08-22T00:31:11Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2023-4301"
},
{
"type": "WEB",
"url": "https://github.com/jenkinsci/fortify-plugin/commit/357d7bfbcb0ff796ea7d078bee13159f1d000f5d"
},
{
"type": "PACKAGE",
"url": "https://github.com/jenkinsci/fortify-plugin"
},
{
"type": "WEB",
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N",
"type": "CVSS_V3"
}
],
"summary": "Jenkins Fortify Plugin cross-site request forgery vulnerability"
}
GSD-2023-4301
Vulnerability from gsd - Updated: 2023-12-13 01:20Details
A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.
Aliases
Aliases
{
"GSD": {
"alias": "CVE-2023-4301",
"id": "GSD-2023-4301"
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2023-4301"
],
"details": "A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\n\n",
"id": "GSD-2023-4301",
"modified": "2023-12-13T01:20:26.788745Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "security@opentext.com",
"ID": "CVE-2023-4301",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "Jenkins Fortify Plugin",
"version": {
"version_data": [
{
"version_affected": "\u003c=",
"version_name": "0",
"version_value": "22.1.38"
}
]
}
}
]
},
"vendor_name": "Jenkins Project"
}
]
}
},
"credits": [
{
"lang": "en",
"value": "Alvaro Mu\u00f1oz (@pwntester), GitHub Security Lab"
},
{
"lang": "en",
"value": "Kevin Guerroudj, CloudBees, Inc."
}
],
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\n\n"
}
]
},
"generator": {
"engine": "Vulnogram 0.1.0-dev"
},
"impact": {
"cvss": [
{
"attackComplexity": "HIGH",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 4.2,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "LOW",
"scope": "UNCHANGED",
"userInteraction": "NONE",
"vectorString": "CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N",
"version": "3.1"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"cweId": "CWE-352",
"lang": "eng",
"value": "CWE-352 Cross-Site Request Forgery (CSRF)"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115",
"refsource": "MISC",
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115"
}
]
},
"source": {
"discovery": "UNKNOWN"
}
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:jenkins:fortify:*:*:*:*:*:jenkins:*:*",
"cpe_name": [],
"versionEndExcluding": "22.2.39",
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "security@opentext.com",
"ID": "CVE-2023-4301"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "A cross-site request forgery (CSRF) vulnerability in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.\n\n"
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-352"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115",
"refsource": "MISC",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2023-08-16/#SECURITY-3115"
}
]
}
},
"impact": {
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 5.4,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "NONE",
"scope": "UNCHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N",
"version": "3.1"
},
"exploitabilityScore": 2.8,
"impactScore": 2.5
}
},
"lastModifiedDate": "2023-08-24T21:36Z",
"publishedDate": "2023-08-21T23:15Z"
}
}
}
WID-SEC-W-2023-2088
Vulnerability from csaf_certbund - Published: 2023-08-16 22:00 - Updated: 2024-02-11 23:00Summary
Jenkins: Mehrere Schwachstellen
Severity
Hoch
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung bei Softwareentwicklungen aller Art.
Angriff: Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen.
Betroffene Betriebssysteme: - Linux
- MacOS X
- Windows
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgemäßen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungsprüfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
Red Hat Enterprise Linux
Red Hat
|
cpe:/o:redhat:enterprise_linux:-
|
— | |
|
Jenkins Jenkins Plugins
Jenkins / Jenkins
|
cpe:/a:cloudbees:jenkins:plugins
|
Plugins |
References
5 references
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux\n- MacOS X\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-2088 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2088.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-2088 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2088"
},
{
"category": "external",
"summary": "Jenkins Security Advisory 2023-08-16 vom 2023-08-16",
"url": "https://www.jenkins.io/security/advisory/2023-08-16/"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:0777 vom 2024-02-12",
"url": "https://access.redhat.com/errata/RHSA-2024:0777"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2024:0778 vom 2024-02-12",
"url": "https://access.redhat.com/errata/RHSA-2024:0778"
}
],
"source_lang": "en-US",
"title": "Jenkins: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2024-02-11T23:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:57:12.611+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-2088",
"initial_release_date": "2023-08-16T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-08-16T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2024-02-11T23:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von Red Hat aufgenommen"
}
],
"status": "final",
"version": "2"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "Plugins",
"product": {
"name": "Jenkins Jenkins Plugins",
"product_id": "T013614",
"product_identification_helper": {
"cpe": "cpe:/a:cloudbees:jenkins:plugins"
}
}
}
],
"category": "product_name",
"name": "Jenkins"
}
],
"category": "vendor",
"name": "Jenkins"
},
{
"branches": [
{
"category": "product_name",
"name": "Red Hat Enterprise Linux",
"product": {
"name": "Red Hat Enterprise Linux",
"product_id": "67646",
"product_identification_helper": {
"cpe": "cpe:/o:redhat:enterprise_linux:-"
}
}
}
],
"category": "vendor",
"name": "Red Hat"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-4303",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-4303"
},
{
"cve": "CVE-2023-4302",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-4302"
},
{
"cve": "CVE-2023-4301",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-4301"
},
{
"cve": "CVE-2023-40351",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40351"
},
{
"cve": "CVE-2023-40350",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40350"
},
{
"cve": "CVE-2023-40349",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40349"
},
{
"cve": "CVE-2023-40348",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40348"
},
{
"cve": "CVE-2023-40347",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40347"
},
{
"cve": "CVE-2023-40346",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40346"
},
{
"cve": "CVE-2023-40345",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40345"
},
{
"cve": "CVE-2023-40344",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40344"
},
{
"cve": "CVE-2023-40343",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40343"
},
{
"cve": "CVE-2023-40342",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40342"
},
{
"cve": "CVE-2023-40341",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40341"
},
{
"cve": "CVE-2023-40340",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40340"
},
{
"cve": "CVE-2023-40339",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40339"
},
{
"cve": "CVE-2023-40338",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40338"
},
{
"cve": "CVE-2023-40337",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40337"
},
{
"cve": "CVE-2023-40336",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen in den folgenden Jenkins Plugins: Blue Ocean, Config File Provider, Delphix, Docker Swarm, Favorite View, Flaky Test Handler, Folders, Fortify, Gogs, Maven Artifact ChoiceListProvider (Nexus), NodeJS, Shortcut Job und Tuleap Authentication. Sie existieren u.a. aufgrund eines CSRF, einer unsachgem\u00e4\u00dfen Maskierung von Anmeldeinformationen, einer HTML-Injektion, eines Stored XSS, eines nicht konstanten Zeit-Token-Vergleichs und einer fehlenden Berechtigungspr\u00fcfung. Ein Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Code auszuf\u00fchren, vertrauliche Informationen offenzulegen oder Sicherheitsma\u00dfnahmen zu umgehen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T013614"
]
},
"release_date": "2023-08-16T22:00:00.000+00:00",
"title": "CVE-2023-40336"
}
]
}
Loading…
Trend slope:
-
(linear fit over daily sighting counts)
Show additional events:
Loading…
Experimental. This forecast is provided for visualization only and may change without notice. Do not use it for operational decisions.
Forecast uses a logistic model when the trend is rising, or an exponential decay model when the trend is falling. Fitted via linearized least squares.
Sightings
| Author | Source | Type | Date | Other |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…