Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la comprobación del hostname en el servidor SMTP en Jenkins Mailer Plugin (CVE-2020-2252)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Jenkins Mailer Plugin versiones 1.32 y anteriores, no lleva a cabo la comprobación del hostname cuando se conecta al servidor SMTP configurado
Vulnerabilidad en la comprobación del hostname en el servidor SMTP en Jenkins Email Extension Plugin (CVE-2020-2253)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Jenkins Email Extension Plugin versiones 2.75 y anteriores, no lleva a cabo la comprobación del hostname cuando se conecta al servidor SMTP configurado
Vulnerabilidad en un flag de funcionalidad no documentada en el sistema de archivos del controlador de Jenkins Blue Ocean Plugin (CVE-2020-2254)
Gravedad:
BajaBaja
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Jenkins Blue Ocean Plugin versiones 1.23.2 y anteriores, proporciona un flag de funcionalidad no documentada que, cuando está habilitado, permite a un atacante con permiso Job/Configure o Job/Create leer archivos arbitrarios en el sistema de archivos del controlador Jenkins
Vulnerabilidad en una URL en Jenkins Blue Ocean Plugin (CVE-2020-2255)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Una falta de comprobación de permisos en Jenkins Blue Ocean Plugin versiones 1.23.2 y anteriores, permite a atacantes con permiso Overall/Read conectarse a una URL especificada por el atacante
Vulnerabilidad en la comprobación de permisos en un endpoint HTTP en Jenkins Health Advisor by CloudBees Plugin (CVE-2020-2258)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Jenkins Health Advisor by CloudBees Plugin versiones 3.2.0 y anteriores, no lleva a cabo correctamente una comprobación de permisos en un endpoint HTTP, permitiendo a atacantes con permiso Overall/Read visualizar ese endpoint HTTP
Vulnerabilidad en una URL HTTP en Jenkins Perfecto Plugin (CVE-2020-2260)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Una falta de comprobación de permisos en Jenkins Perfecto Plugin versiones 1.17 y anteriores, permite a atacantes con permiso Overall/Read conectarse a una URL HTTP especificada por el atacante utilizando credenciales especificadas por un atacante
Vulnerabilidad en un comando en el controlador de Jenkins Perfecto Plugin (CVE-2020-2261)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Jenkins Perfecto Plugin versiones 1.17 y anteriores, ejecuta un comando en el controlador de Jenkins, permitiendo a atacantes con permiso Job/Configure ejecutar comandos arbitrarios en el controlador Jenkins
Vulnerabilidad en archivos de reporte en la información del método en tooltips en Jenkins Coverage/Complexity Scatter Plot Plugin (CVE-2020-2265)
Gravedad:
BajaBaja
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Jenkins Coverage/Complexity Scatter Plot Plugin versiones 1.1.1 y anteriores, no escapa la información del método en tooltips, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado explotable por atacantes capaces de proporcionar archivos de reportes en el paso posterior a la complicación del plugin
Vulnerabilidad en acceso a metadatos en cualquier archivo en el controlador de Jenkins MongoDB Plugin (CVE-2020-2267)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Una falta de comprobación de permisos en Jenkins MongoDB Plugin versiones 1.3 y anteriores, permite a atacantes con permiso Overall/Read conseguir acceso a algunos metadatos de cualquier archivo arbitrario en el controlador de Jenkins
Vulnerabilidad en la comprobación de permiso en una URL en Jenkins ElasTest Plugin (CVE-2020-2272)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Una falta de comprobación de permiso en Jenkins ElasTest Plugin versiones 1.2.1 y anteriores, permite a atacantes con permiso Overall/Read conectarse a una URL especificada por el atacante usando credenciales especificadas por el tacante
Vulnerabilidad en una URL en Jenkins ElasTest Plugin (CVE-2020-2273)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins ElasTest Plugin versiones 1.2.1 y anteriores, permite a atacantes conectarse a una URL especificada por el atacante usando credenciales especificadas por el atacante
Vulnerabilidad en el archivo de configuración global en el controlador de Jenkins ElasTest Plugin (CVE-2020-2274)
Gravedad:
BajaBaja
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Jenkins ElasTest Plugin versiones 1.2.1 y anteriores, almacena su contraseña de servidor sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde pueden ser visualizadas por usuarios con acceso al sistema de archivos del controlador Jenkins
Vulnerabilidad en el controlador de Jenkins Storable Configs Plugin (CVE-2020-2277)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Jenkins Storable Configs Plugin versiones 1.0 y anteriores, permite a usuarios con permiso Job/Read leer archivos arbitrarios en el controlador de Jenkins
Vulnerabilidad en el reemplazo de un archivo ".xml" en el controlador de Jenkins Storable Configs Plugin (CVE-2020-2278)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
18/09/2020
Descripción:
Jenkins Storable Configs Plugin versiones 1.0 y anteriores, no restringen el nombre de archivo especificado por el usuario, permitiendo a atacantes con permiso Job/Configure reemplazar cualquier otro archivo ".xml" en el controlador de Jenkins con el contenido de un archivo de trabajo config.xml

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: