Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2022-29042 (GCVE-0-2022-29042)
Vulnerability from cvelistv5
Published
2022-04-12 19:50
Modified
2024-08-03 06:10
Severity ?
VLAI Severity ?
EPSS score ?
Summary
Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs' Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.
References
Impacted products
| Vendor | Product | Version | ||
|---|---|---|---|---|
| Jenkins project | Jenkins Job Generator Plugin |
Version: unspecified < |
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-03T06:10:58.632Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"tags": [
"x_refsource_CONFIRM",
"x_transferred"
],
"url": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617"
}
],
"title": "CVE Program Container"
}
],
"cna": {
"affected": [
{
"product": "Jenkins Job Generator Plugin",
"vendor": "Jenkins project",
"versions": [
{
"lessThanOrEqual": "1.22",
"status": "affected",
"version": "unspecified",
"versionType": "custom"
},
{
"lessThan": "unspecified",
"status": "unknown",
"version": "next of 1.22",
"versionType": "custom"
}
]
}
],
"descriptions": [
{
"lang": "en",
"value": "Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission."
}
],
"providerMetadata": {
"dateUpdated": "2023-10-24T14:21:26.051Z",
"orgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
"shortName": "jenkins"
},
"references": [
{
"tags": [
"x_refsource_CONFIRM"
],
"url": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617"
}
],
"x_legacyV4Record": {
"CVE_data_meta": {
"ASSIGNER": "jenkinsci-cert@googlegroups.com",
"ID": "CVE-2022-29042",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "Jenkins Job Generator Plugin",
"version": {
"version_data": [
{
"version_affected": "\u003c=",
"version_value": "1.22"
},
{
"version_affected": "?\u003e",
"version_value": "1.22"
}
]
}
}
]
},
"vendor_name": "Jenkins project"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "CWE-79: Improper Neutralization of Input During Web Page Generation (\u0027Cross-site Scripting\u0027)"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617",
"refsource": "CONFIRM",
"url": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617"
}
]
}
}
}
},
"cveMetadata": {
"assignerOrgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
"assignerShortName": "jenkins",
"cveId": "CVE-2022-29042",
"datePublished": "2022-04-12T19:50:38",
"dateReserved": "2022-04-11T00:00:00",
"dateUpdated": "2024-08-03T06:10:58.632Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"nvd": "{\"cve\":{\"id\":\"CVE-2022-29042\",\"sourceIdentifier\":\"jenkinsci-cert@googlegroups.com\",\"published\":\"2022-04-12T20:15:09.373\",\"lastModified\":\"2024-11-21T06:58:23.690\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.\"},{\"lang\":\"es\",\"value\":\"El plugin Jenkins Job Generator versiones 1.22 y anteriores, no escapa al nombre y descripci\u00f3n de los par\u00e1metros Generator Parameter y Generator Choice en las vistas Build With Parameters de los trabajos del generador de trabajos, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado, explotable por atacantes con permiso Item/Configure\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N\",\"baseScore\":5.4,\"baseSeverity\":\"MEDIUM\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"LOW\",\"userInteraction\":\"REQUIRED\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"LOW\",\"integrityImpact\":\"LOW\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":2.3,\"impactScore\":2.7}],\"cvssMetricV2\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"2.0\",\"vectorString\":\"AV:N/AC:M/Au:S/C:N/I:P/A:N\",\"baseScore\":3.5,\"accessVector\":\"NETWORK\",\"accessComplexity\":\"MEDIUM\",\"authentication\":\"SINGLE\",\"confidentialityImpact\":\"NONE\",\"integrityImpact\":\"PARTIAL\",\"availabilityImpact\":\"NONE\"},\"baseSeverity\":\"LOW\",\"exploitabilityScore\":6.8,\"impactScore\":2.9,\"acInsufInfo\":false,\"obtainAllPrivilege\":false,\"obtainUserPrivilege\":false,\"obtainOtherPrivilege\":false,\"userInteractionRequired\":true}]},\"weaknesses\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-79\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:jenkins:job_generator:*:*:*:*:*:jenkins:*:*\",\"versionEndIncluding\":\"1.22\",\"matchCriteriaId\":\"0C3875B0-DE8B-44AD-906F-D9828387E8EE\"}]}]}],\"references\":[{\"url\":\"https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617\",\"source\":\"jenkinsci-cert@googlegroups.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}"
}
}
gsd-2022-29042
Vulnerability from gsd
Modified
2023-12-13 01:19
Details
Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs' Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.
Aliases
Aliases
{
"GSD": {
"alias": "CVE-2022-29042",
"description": "Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.",
"id": "GSD-2022-29042"
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2022-29042"
],
"details": "Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.",
"id": "GSD-2022-29042",
"modified": "2023-12-13T01:19:42.351399Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "jenkinsci-cert@googlegroups.com",
"ID": "CVE-2022-29042",
"STATE": "PUBLIC"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "Jenkins Job Generator Plugin",
"version": {
"version_data": [
{
"version_value": "not down converted",
"x_cve_json_5_version_data": {
"versions": [
{
"lessThanOrEqual": "1.22",
"status": "affected",
"version": "unspecified",
"versionType": "custom"
},
{
"lessThan": "unspecified",
"status": "unknown",
"version": "next of 1.22",
"versionType": "custom"
}
]
}
}
]
}
}
]
},
"vendor_name": "Jenkins project"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "n/a"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617",
"refsource": "MISC",
"url": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617"
}
]
}
},
"gitlab.com": {
"advisories": [
{
"affected_range": "(,1.22]",
"affected_versions": "All versions up to 1.22",
"cvss_v2": "AV:N/AC:M/Au:S/C:N/I:P/A:N",
"cvss_v3": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N",
"cwe_ids": [
"CWE-1035",
"CWE-79",
"CWE-79",
"CWE-937"
],
"date": "2022-12-02",
"description": "Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.",
"fixed_versions": [],
"identifier": "CVE-2022-29042",
"identifiers": [
"GHSA-f3jq-9c79-j65m",
"CVE-2022-29042"
],
"not_impacted": "",
"package_slug": "maven/org.jenkins-ci.plugins/jobgenerator",
"pubdate": "2022-04-13",
"solution": "Unfortunately, there is no solution available yet.",
"title": "Improper Neutralization of Input During Web Page Generation (\u0027Cross-site Scripting\u0027)",
"urls": [
"https://nvd.nist.gov/vuln/detail/CVE-2022-29042",
"https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617",
"https://github.com/advisories/GHSA-f3jq-9c79-j65m"
],
"uuid": "e1c5da48-1e0d-4638-ab34-985f407e8f8b"
}
]
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:jenkins:job_generator:*:*:*:*:*:jenkins:*:*",
"cpe_name": [],
"versionEndIncluding": "1.22",
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "jenkinsci-cert@googlegroups.com",
"ID": "CVE-2022-29042"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-79"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617",
"refsource": "CONFIRM",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617"
}
]
}
},
"impact": {
"baseMetricV2": {
"acInsufInfo": false,
"cvssV2": {
"accessComplexity": "MEDIUM",
"accessVector": "NETWORK",
"authentication": "SINGLE",
"availabilityImpact": "NONE",
"baseScore": 3.5,
"confidentialityImpact": "NONE",
"integrityImpact": "PARTIAL",
"vectorString": "AV:N/AC:M/Au:S/C:N/I:P/A:N",
"version": "2.0"
},
"exploitabilityScore": 6.8,
"impactScore": 2.9,
"obtainAllPrivilege": false,
"obtainOtherPrivilege": false,
"obtainUserPrivilege": false,
"severity": "LOW",
"userInteractionRequired": true
},
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 5.4,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "LOW",
"scope": "CHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"exploitabilityScore": 2.3,
"impactScore": 2.7
}
},
"lastModifiedDate": "2023-11-17T17:22Z",
"publishedDate": "2022-04-12T20:15Z"
}
}
}
ghsa-f3jq-9c79-j65m
Vulnerability from github
Published
2022-04-13 00:00
Modified
2023-10-27 17:12
Severity ?
VLAI Severity ?
Summary
Stored Cross-site Scripting vulnerability in Jenkins Job Generator Plugin
Details
Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs' Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.
Exploitation of this vulnerability requires that parameters are listed on another page, like the \"Build With Parameters\" and \"Parameters\" pages provided by Jenkins (core), and that those pages are not hardened to prevent exploitation. Jenkins (core) has prevented exploitation of vulnerabilities of this kind on the \"Build With Parameters\" and \"Parameters\" pages since 2.44 and LTS 2.32.2 as part of the SECURITY-353 / CVE-2017-2601 fix.
{
"affected": [
{
"package": {
"ecosystem": "Maven",
"name": "org.jenkins-ci.plugins:jobgenerator"
},
"ranges": [
{
"events": [
{
"introduced": "0"
},
{
"last_affected": "1.22"
}
],
"type": "ECOSYSTEM"
}
]
}
],
"aliases": [
"CVE-2022-29042"
],
"database_specific": {
"cwe_ids": [
"CWE-79"
],
"github_reviewed": true,
"github_reviewed_at": "2022-12-02T21:23:16Z",
"nvd_published_at": "2022-04-12T20:15:00Z",
"severity": "MODERATE"
},
"details": "Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.\n\nExploitation of this vulnerability requires that parameters are listed on another page, like the \\\"Build With Parameters\\\" and \\\"Parameters\\\" pages provided by Jenkins (core), and that those pages are not hardened to prevent exploitation. Jenkins (core) has prevented exploitation of vulnerabilities of this kind on the \\\"Build With Parameters\\\" and \\\"Parameters\\\" pages since 2.44 and LTS 2.32.2 as part of the [SECURITY-353 / CVE-2017-2601](https://www.jenkins.io/security/advisory/2017-02-01/#persisted-cross-site-scripting-vulnerability-in-parameter-names-and-descriptions) fix.",
"id": "GHSA-f3jq-9c79-j65m",
"modified": "2023-10-27T17:12:24Z",
"published": "2022-04-13T00:00:17Z",
"references": [
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2022-29042"
},
{
"type": "PACKAGE",
"url": "https://github.com/jenkinsci/jobgenerator-plugin"
},
{
"type": "WEB",
"url": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N",
"type": "CVSS_V3"
}
],
"summary": "Stored Cross-site Scripting vulnerability in Jenkins Job Generator Plugin"
}
WID-SEC-W-2022-0265
Vulnerability from csaf_certbund
Published
2022-04-12 22:00
Modified
2023-03-06 23:00
Summary
Jenkins: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung bei Softwareentwicklungen aller Art.
Angriff
Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsmaßnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuführen und Dateien zu manipulieren.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2022-0265 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-0265.json"
},
{
"category": "self",
"summary": "WID-SEC-2022-0265 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0265"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:1064 vom 2023-03-06",
"url": "https://access.redhat.com/errata/RHSA-2023:1064"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:2280 vom 2022-05-31",
"url": "https://access.redhat.com/errata/RHSA-2022:2280"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:2205 vom 2022-05-19",
"url": "https://access.redhat.com/errata/RHSA-2022:2205"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:4947 vom 2022-06-17",
"url": "https://access.redhat.com/errata/RHSA-2022:4947"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:4909 vom 2022-06-10",
"url": "https://access.redhat.com/errata/RHSA-2022:4909"
},
{
"category": "external",
"summary": "Jenkins Security Advisory vom 2022-04-12",
"url": "https://www.jenkins.io/security/advisory/2022-04-12/"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:2281 vom 2022-05-31",
"url": "https://access.redhat.com/errata/RHSA-2022:2281"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:0017 vom 2023-01-12",
"url": "https://access.redhat.com/errata/RHSA-2023:0017"
}
],
"source_lang": "en-US",
"title": "Jenkins: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2023-03-06T23:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:27:43.827+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2022-0265",
"initial_release_date": "2022-04-12T22:00:00.000+00:00",
"revision_history": [
{
"date": "2022-04-12T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2022-05-18T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-05-30T22:00:00.000+00:00",
"number": "3",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-05-31T22:00:00.000+00:00",
"number": "4",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-06-09T22:00:00.000+00:00",
"number": "5",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-06-19T22:00:00.000+00:00",
"number": "6",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-01-12T23:00:00.000+00:00",
"number": "7",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-03-06T23:00:00.000+00:00",
"number": "8",
"summary": "Neue Updates von Red Hat aufgenommen"
}
],
"status": "final",
"version": "8"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "Jenkins Jenkins",
"product": {
"name": "Jenkins Jenkins",
"product_id": "T015880",
"product_identification_helper": {
"cpe": "cpe:/a:cloudbees:jenkins:-"
}
}
}
],
"category": "vendor",
"name": "Jenkins"
},
{
"branches": [
{
"category": "product_name",
"name": "Red Hat Enterprise Linux",
"product": {
"name": "Red Hat Enterprise Linux",
"product_id": "67646",
"product_identification_helper": {
"cpe": "cpe:/o:redhat:enterprise_linux:-"
}
}
}
],
"category": "vendor",
"name": "Red Hat"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2017-2601",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2017-2601"
},
{
"cve": "CVE-2022-29036",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29036"
},
{
"cve": "CVE-2022-29037",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29037"
},
{
"cve": "CVE-2022-29038",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29038"
},
{
"cve": "CVE-2022-29039",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29039"
},
{
"cve": "CVE-2022-29040",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29040"
},
{
"cve": "CVE-2022-29041",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29041"
},
{
"cve": "CVE-2022-29042",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29042"
},
{
"cve": "CVE-2022-29043",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29043"
},
{
"cve": "CVE-2022-29044",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29044"
},
{
"cve": "CVE-2022-29045",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29045"
},
{
"cve": "CVE-2022-29046",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29046"
},
{
"cve": "CVE-2022-29047",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29047"
},
{
"cve": "CVE-2022-29048",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29048"
},
{
"cve": "CVE-2022-29049",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29049"
},
{
"cve": "CVE-2022-29050",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29050"
},
{
"cve": "CVE-2022-29051",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29051"
},
{
"cve": "CVE-2022-29052",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29052"
}
]
}
wid-sec-w-2022-0265
Vulnerability from csaf_certbund
Published
2022-04-12 22:00
Modified
2023-03-06 23:00
Summary
Jenkins: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung bei Softwareentwicklungen aller Art.
Angriff
Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsmaßnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuführen und Dateien zu manipulieren.
Betroffene Betriebssysteme
- UNIX
- Linux
- Windows
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer oder authentisierter Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2022-0265 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-0265.json"
},
{
"category": "self",
"summary": "WID-SEC-2022-0265 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0265"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:1064 vom 2023-03-06",
"url": "https://access.redhat.com/errata/RHSA-2023:1064"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:2280 vom 2022-05-31",
"url": "https://access.redhat.com/errata/RHSA-2022:2280"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:2205 vom 2022-05-19",
"url": "https://access.redhat.com/errata/RHSA-2022:2205"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:4947 vom 2022-06-17",
"url": "https://access.redhat.com/errata/RHSA-2022:4947"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:4909 vom 2022-06-10",
"url": "https://access.redhat.com/errata/RHSA-2022:4909"
},
{
"category": "external",
"summary": "Jenkins Security Advisory vom 2022-04-12",
"url": "https://www.jenkins.io/security/advisory/2022-04-12/"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:2281 vom 2022-05-31",
"url": "https://access.redhat.com/errata/RHSA-2022:2281"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2023:0017 vom 2023-01-12",
"url": "https://access.redhat.com/errata/RHSA-2023:0017"
}
],
"source_lang": "en-US",
"title": "Jenkins: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2023-03-06T23:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:27:43.827+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2022-0265",
"initial_release_date": "2022-04-12T22:00:00.000+00:00",
"revision_history": [
{
"date": "2022-04-12T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2022-05-18T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-05-30T22:00:00.000+00:00",
"number": "3",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-05-31T22:00:00.000+00:00",
"number": "4",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-06-09T22:00:00.000+00:00",
"number": "5",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-06-19T22:00:00.000+00:00",
"number": "6",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-01-12T23:00:00.000+00:00",
"number": "7",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2023-03-06T23:00:00.000+00:00",
"number": "8",
"summary": "Neue Updates von Red Hat aufgenommen"
}
],
"status": "final",
"version": "8"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "Jenkins Jenkins",
"product": {
"name": "Jenkins Jenkins",
"product_id": "T015880",
"product_identification_helper": {
"cpe": "cpe:/a:cloudbees:jenkins:-"
}
}
}
],
"category": "vendor",
"name": "Jenkins"
},
{
"branches": [
{
"category": "product_name",
"name": "Red Hat Enterprise Linux",
"product": {
"name": "Red Hat Enterprise Linux",
"product_id": "67646",
"product_identification_helper": {
"cpe": "cpe:/o:redhat:enterprise_linux:-"
}
}
}
],
"category": "vendor",
"name": "Red Hat"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2017-2601",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2017-2601"
},
{
"cve": "CVE-2022-29036",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29036"
},
{
"cve": "CVE-2022-29037",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29037"
},
{
"cve": "CVE-2022-29038",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29038"
},
{
"cve": "CVE-2022-29039",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29039"
},
{
"cve": "CVE-2022-29040",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29040"
},
{
"cve": "CVE-2022-29041",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29041"
},
{
"cve": "CVE-2022-29042",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29042"
},
{
"cve": "CVE-2022-29043",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29043"
},
{
"cve": "CVE-2022-29044",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29044"
},
{
"cve": "CVE-2022-29045",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29045"
},
{
"cve": "CVE-2022-29046",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29046"
},
{
"cve": "CVE-2022-29047",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29047"
},
{
"cve": "CVE-2022-29048",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29048"
},
{
"cve": "CVE-2022-29049",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29049"
},
{
"cve": "CVE-2022-29050",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29050"
},
{
"cve": "CVE-2022-29051",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29051"
},
{
"cve": "CVE-2022-29052",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in Jenkins. Die Fehler befinden sich in den folgenden Plugins: Credentials Plugin, CVS Plugin, Extended Choice Parameter Plugin, Gerrit Trigger Plugin, Git Parameter Plugin, Google Compute Engine Plugin, Jira Plugin, Job Generator Plugin, Mask Passwords Plugin, Node and Label parameter Plugin, Pipeline: Shared Groovy Libraries Plugin, Promoted Builds Plugin, Publish Over FTP Plugin, Subversion Plugin. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen, Sicherheitsma\u00dfnahmen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren und Dateien zu manipulieren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
}
],
"product_status": {
"known_affected": [
"67646",
"T015880"
]
},
"release_date": "2022-04-12T22:00:00.000+00:00",
"title": "CVE-2022-29052"
}
]
}
cnvd-2022-79932
Vulnerability from cnvd
Title: Jenkins Job Generator Plugin跨站脚本漏洞
Description:
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。
Jenkins Job Generator Plugin存在跨站脚本漏洞,该漏洞源于应用未在Job Generator作业的Build With Parameters视图上转义Generator Parameter和Generator Choice参数的名称和描述。目前没有详细漏洞细节提供。
Severity: 低
Patch Name: Jenkins Job Generator Plugin跨站脚本漏洞的补丁
Patch Description:
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。
Jenkins Job Generator Plugin存在跨站脚本漏洞,该漏洞源于应用未在Job Generator作业的Build With Parameters视图上转义Generator Parameter和Generator Choice参数的名称和描述。目前没有详细漏洞细节提供。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。
Formal description:
厂商已发布了漏洞修复程序,请及时关注更新: https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617
Reference: https://nvd.nist.gov/vuln/detail/CVE-2022-29042
Impacted products
| Name | Jenkins Job Generator Plugin <=1.22 |
|---|
{
"cves": {
"cve": {
"cveNumber": "CVE-2022-29042",
"cveUrl": "https://nvd.nist.gov/vuln/detail/CVE-2022-29042"
}
},
"description": "Jenkins\u548cJenkins Plugin\u90fd\u662fJenkins\u5f00\u6e90\u7684\u4ea7\u54c1\u3002Jenkins\u662f\u4e00\u4e2a\u5e94\u7528\u8f6f\u4ef6\u3002\u4e00\u4e2a\u5f00\u6e90\u81ea\u52a8\u5316\u670d\u52a1\u5668Jenkins\u63d0\u4f9b\u4e86\u6570\u767e\u4e2a\u63d2\u4ef6\u6765\u652f\u6301\u6784\u5efa\uff0c\u90e8\u7f72\u548c\u81ea\u52a8\u5316\u4efb\u4f55\u9879\u76ee\u3002Jenkins Plugin\u662f\u4e00\u4e2a\u5e94\u7528\u8f6f\u4ef6\u3002\n\nJenkins Job Generator Plugin\u5b58\u5728\u8de8\u7ad9\u811a\u672c\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u5e94\u7528\u672a\u5728Job Generator\u4f5c\u4e1a\u7684Build With Parameters\u89c6\u56fe\u4e0a\u8f6c\u4e49Generator Parameter\u548cGenerator Choice\u53c2\u6570\u7684\u540d\u79f0\u548c\u63cf\u8ff0\u3002\u76ee\u524d\u6ca1\u6709\u8be6\u7ec6\u6f0f\u6d1e\u7ec6\u8282\u63d0\u4f9b\u3002",
"formalWay": "\u5382\u5546\u5df2\u53d1\u5e03\u4e86\u6f0f\u6d1e\u4fee\u590d\u7a0b\u5e8f\uff0c\u8bf7\u53ca\u65f6\u5173\u6ce8\u66f4\u65b0\uff1a\r\nhttps://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617",
"isEvent": "\u901a\u7528\u8f6f\u786c\u4ef6\u6f0f\u6d1e",
"number": "CNVD-2022-79932",
"openTime": "2022-11-23",
"patchDescription": "Jenkins\u548cJenkins Plugin\u90fd\u662fJenkins\u5f00\u6e90\u7684\u4ea7\u54c1\u3002Jenkins\u662f\u4e00\u4e2a\u5e94\u7528\u8f6f\u4ef6\u3002\u4e00\u4e2a\u5f00\u6e90\u81ea\u52a8\u5316\u670d\u52a1\u5668Jenkins\u63d0\u4f9b\u4e86\u6570\u767e\u4e2a\u63d2\u4ef6\u6765\u652f\u6301\u6784\u5efa\uff0c\u90e8\u7f72\u548c\u81ea\u52a8\u5316\u4efb\u4f55\u9879\u76ee\u3002Jenkins Plugin\u662f\u4e00\u4e2a\u5e94\u7528\u8f6f\u4ef6\u3002\r\n\r\nJenkins Job Generator Plugin\u5b58\u5728\u8de8\u7ad9\u811a\u672c\u6f0f\u6d1e\uff0c\u8be5\u6f0f\u6d1e\u6e90\u4e8e\u5e94\u7528\u672a\u5728Job Generator\u4f5c\u4e1a\u7684Build With Parameters\u89c6\u56fe\u4e0a\u8f6c\u4e49Generator Parameter\u548cGenerator Choice\u53c2\u6570\u7684\u540d\u79f0\u548c\u63cf\u8ff0\u3002\u76ee\u524d\u6ca1\u6709\u8be6\u7ec6\u6f0f\u6d1e\u7ec6\u8282\u63d0\u4f9b\u3002\u76ee\u524d\uff0c\u4f9b\u5e94\u5546\u53d1\u5e03\u4e86\u5b89\u5168\u516c\u544a\u53ca\u76f8\u5173\u8865\u4e01\u4fe1\u606f\uff0c\u4fee\u590d\u4e86\u6b64\u6f0f\u6d1e\u3002",
"patchName": "Jenkins Job Generator Plugin\u8de8\u7ad9\u811a\u672c\u6f0f\u6d1e\u7684\u8865\u4e01",
"products": {
"product": "Jenkins Job Generator Plugin \u003c=1.22"
},
"referenceLink": "https://nvd.nist.gov/vuln/detail/CVE-2022-29042",
"serverity": "\u4f4e",
"submitTime": "2022-04-13",
"title": "Jenkins Job Generator Plugin\u8de8\u7ad9\u811a\u672c\u6f0f\u6d1e"
}
fkie_cve-2022-29042
Vulnerability from fkie_nvd
Published
2022-04-12 20:15
Modified
2024-11-21 06:58
Severity ?
Summary
Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs' Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission.
References
Impacted products
| Vendor | Product | Version | |
|---|---|---|---|
| jenkins | job_generator | * |
{
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:jenkins:job_generator:*:*:*:*:*:jenkins:*:*",
"matchCriteriaId": "0C3875B0-DE8B-44AD-906F-D9828387E8EE",
"versionEndIncluding": "1.22",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "Jenkins Job Generator Plugin 1.22 and earlier does not escape the name and description of Generator Parameter and Generator Choice parameters on Job Generator jobs\u0027 Build With Parameters views, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission."
},
{
"lang": "es",
"value": "El plugin Jenkins Job Generator versiones 1.22 y anteriores, no escapa al nombre y descripci\u00f3n de los par\u00e1metros Generator Parameter y Generator Choice en las vistas Build With Parameters de los trabajos del generador de trabajos, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado, explotable por atacantes con permiso Item/Configure"
}
],
"id": "CVE-2022-29042",
"lastModified": "2024-11-21T06:58:23.690",
"metrics": {
"cvssMetricV2": [
{
"acInsufInfo": false,
"baseSeverity": "LOW",
"cvssData": {
"accessComplexity": "MEDIUM",
"accessVector": "NETWORK",
"authentication": "SINGLE",
"availabilityImpact": "NONE",
"baseScore": 3.5,
"confidentialityImpact": "NONE",
"integrityImpact": "PARTIAL",
"vectorString": "AV:N/AC:M/Au:S/C:N/I:P/A:N",
"version": "2.0"
},
"exploitabilityScore": 6.8,
"impactScore": 2.9,
"obtainAllPrivilege": false,
"obtainOtherPrivilege": false,
"obtainUserPrivilege": false,
"source": "nvd@nist.gov",
"type": "Primary",
"userInteractionRequired": true
}
],
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "NETWORK",
"availabilityImpact": "NONE",
"baseScore": 5.4,
"baseSeverity": "MEDIUM",
"confidentialityImpact": "LOW",
"integrityImpact": "LOW",
"privilegesRequired": "LOW",
"scope": "CHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"exploitabilityScore": 2.3,
"impactScore": 2.7,
"source": "nvd@nist.gov",
"type": "Primary"
}
]
},
"published": "2022-04-12T20:15:09.373",
"references": [
{
"source": "jenkinsci-cert@googlegroups.com",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Vendor Advisory"
],
"url": "https://www.jenkins.io/security/advisory/2022-04-12/#SECURITY-2617"
}
],
"sourceIdentifier": "jenkinsci-cert@googlegroups.com",
"vulnStatus": "Modified",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "CWE-79"
}
],
"source": "nvd@nist.gov",
"type": "Primary"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…