ID CVE-2019-10337
Summary An XML external entities (XXE) vulnerability in Jenkins Token Macro Plugin 2.7 and earlier allowed attackers able to control a the content of the input file for the "XML" macro to have Jenkins resolve external entities, resulting in the extraction of secrets from the Jenkins agent, server-side request forgery, or denial-of-service attacks.
References
Vulnerable Configurations
  • cpe:2.3:a:jenkins:token_macro:1.0:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.0:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.4:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.4:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.5:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.5:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.5.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.5.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.6:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.6:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.7:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.7:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.8:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.8:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.8.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.8.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.9:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.9:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.10:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.10:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.11:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.11:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.12:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.12:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.12.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.12.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:1.13:alpha:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:1.13:alpha:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:2.0:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:2.0:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:2.0:beta:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:2.0:beta:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:2.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:2.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:2.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:2.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:2.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:2.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:2.4:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:2.4:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:2.5:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:2.5:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:2.6:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:2.6:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:token_macro:2.7:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:token_macro:2.7:*:*:*:*:jenkins:*:*
CVSS
Base: 5.0 (as of 13-06-2019 - 13:29)
Impact:
Exploitability:
CWE CWE-611
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE NONE PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:N/A:P
Last major update 13-06-2019 - 13:29
Published 11-06-2019 - 14:29
Back to Top