Zpětná vazba k reportu

Autentizovanému vzdálenému útočníkovi s oprávněním Item/Configure je v pluginu Shared Library Version Override umožněno nakonfigurovat přepis knihovny na úrovni složky, který se spustí bez ochrany sandboxu [1].

Zranitelnost se nachází v produktu Shared Library Version Override Plugin

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-52554 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-862: Missing Authorization at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2024.

Neautentizovanému vzdálenému útočníkovi je v pluginu OpenId Connect Authentication umožněno použít techniky sociálního inženýrství k získání administrátorského přístupu k systému Jenkins, protože plugin neukončuje existující relaci při přihlášení [1].

Zranitelnost se nachází v produktu OpenId Connect Authentication Plugin

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-52553 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-613: Insufficient Session Expiration at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2024.

Autentizovanému vzdálenému útočníkovi s oprávněním Item/Configure je v pluginu Authorize Project umožněno vykonat stored XSS útok [1].

Zranitelnost se nachází v produktu Authorize Project Plugin

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-52552 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2024.

Autentizovanému vzdálenému útočníkovi s oprávněním Item/Build je v pluginu Declarative umožněno restartovat předchozí build, jehož skript (Jenkinsfile) již není schválen [1].

Zranitelnost se nachází v produktu Declarative Plugin

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-52551 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-276: Incorrect Default Permissions at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2024.

Autentizovanému vzdálenému útočníkovi s oprávněním Item/Build je v pluginu Groovy umožněno obnovit předchozí build, jehož skript (Jenkinsfile) již není schválen [1].

Zranitelnost se nachází v produktu Groovy Plugin

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-52550 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-276: Incorrect Default Permissions at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2024.

Autentizovanému vzdálenému útočníkovi ovládajícímu vstupní soubory buildu je v pluginu IvyTrigger umožněno využít XML dokument s externími entitami pro extrakci tajemství z řadiče Jenkins nebo k podvržení požadavku na straně serveru [1].

Zranitelnost se nachází v produktu IvyTrigger Plugin

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N

Více informací:

• CVE-2022-46751 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-611: Improper Restriction of XML External Entity Reference at cwe.mitre.org
• CWE-91: XML Injection (aka Blind XPath Injection) at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2024.

Autentizovanému vzdálenému útočníkovi s oprávněním Overall/Read je v pluginu Script Security umožněno kontrolovat existenci souborů v souborovém systému řadiče [1].

Zranitelnost se nachází v produktu Script Security Plugin

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Více informací:

• CVE-2024-52549 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-862: Missing Authorization at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 11. 2024.