ID CVE-2020-2247
Summary Jenkins Klocwork Analysis Plugin 2020.2.1 and earlier does not configure its XML parser to prevent XML external entity (XXE) attacks.
References
Vulnerable Configurations
  • cpe:2.3:a:jenkins:klocwork_analysis:-:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:-:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.0:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.0:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.4:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.4:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.5:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.5:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.6:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.6:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.7:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.7:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.8:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.8:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.8.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.8.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.9:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.9:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.10:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.10:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.11:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.11:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.12:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.12:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.13:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.13:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.14:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.14:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.14.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.14.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.15:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.15:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.16.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.16.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.16.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.16.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.17:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.17:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.18:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.18:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.23:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.23:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.24:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.24:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.24.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.24.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.24.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.24.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.24.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.24.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.24.4:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.24.4:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.24.5:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.24.5:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:1.24.6:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:1.24.6:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.0:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.0:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.2.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.2.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.2.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.2.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.2.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.2.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3.4:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3.4:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3.5:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3.5:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3.6:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3.6:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3.7:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3.7:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3.8:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3.8:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.3.9:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.3.9:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.0:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.0:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.4:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.4:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.5:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.5:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.6:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.6:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.7:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.7:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.8:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.8:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.4.9:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.4.9:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.5.0:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.5.0:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.5.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.5.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.5.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.5.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2.5.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2.5.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2020.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2020.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:jenkins:klocwork_analysis:2020.2.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:jenkins:klocwork_analysis:2020.2.1:*:*:*:*:jenkins:*:*
CVSS
Base: 4.0 (as of 04-09-2020 - 14:17)
Impact:
Exploitability:
CWE CWE-611
CAPEC
  • XML External Entities Blowup
    This attack takes advantage of the entity replacement property of XML where the value of the replacement is a URI. A well-crafted XML document could have the entity refer to a URI that consumes a large amount of resources to create a denial of service condition. This can cause the system to either freeze, crash, or execute arbitrary code depending on the URI.
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:L/Au:S/C:N/I:P/A:N
refmap via4
confirm https://jenkins.io/security/advisory/2020-09-01/#SECURITY-1831
mlist [oss-security] 20200901 Multiple vulnerabilities in Jenkins plugins
Last major update 04-09-2020 - 14:17
Published 01-09-2020 - 14:15
Last modified 04-09-2020 - 14:17
Back to Top