{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung bei Softwareentwicklungen aller Art.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in verschiedenen Jenkins Plugins ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen und um um vertrauliche Informationen offenzulegen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Sonstiges\n- UNIX\n- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-1234 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1234.json" }, { "category" : "self", "summary" : "WID-SEC-2024-1234 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1234" }, { "category" : "external", "summary" : "Jenkins Security Advisory 2024-05-24 vom 2024-05-26", "url" : "https://www.jenkins.io/security/advisory/2024-05-24/" } ], "source_lang" : "en-US", "title" : "Jenkins Plugins: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2024-05-26T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T18:09:32.983+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2024-1234", "initial_release_date" : "2024-05-26T22:00:00.000+00:00", "revision_history" : [ { "date" : "2024-05-26T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version_range", "name" : "Plugin OpenText <24.1.1-beta", "product" : { "name" : "Jenkins Jenkins Plugin OpenText <24.1.1-beta", "product_id" : "T035066" } }, { "category" : "product_version_range", "name" : "Plugin Team Concert <2.0.5", "product" : { "name" : "Jenkins Jenkins Plugin Team Concert <2.0.5", "product_id" : "T035067" } }, { "category" : "product_version_range", "name" : "Plugin Report Info <=1.2", "product" : { "name" : "Jenkins Jenkins Plugin Report Info <=1.2", "product_id" : "T035071" } } ], "category" : "product_name", "name" : "Jenkins" } ], "category" : "vendor", "name" : "Jenkins" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-28793", "notes" : [ { "category" : "description", "text" : "In Jenkins existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden in Team Concert Git Plugin nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, authentisierter Angreifer kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "release_date" : "2024-05-26T22:00:00.000+00:00", "title" : "CVE-2024-28793" }, { "cve" : "CVE-2024-4184", "notes" : [ { "category" : "description", "text" : "In Jenkins existieren mehrere Schwachstellen. Diese Schwachstellen betreffen das OpenText Application Automation Tools-Plugin aufgrund einer unsachgemäßen Konfiguration des XML-Parsers, was zu einem Angriff auf externe XML-Entitäten und einer serverseitigen Anfragefälschung führt. Ein aus der Ferne authentifizierter Angreifer könnte diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen." } ], "release_date" : "2024-05-26T22:00:00.000+00:00", "title" : "CVE-2024-4184" }, { "cve" : "CVE-2024-4189", "notes" : [ { "category" : "description", "text" : "In Jenkins existieren mehrere Schwachstellen. Diese Schwachstellen betreffen das OpenText Application Automation Tools-Plugin aufgrund einer unsachgemäßen Konfiguration des XML-Parsers, was zu einem Angriff auf externe XML-Entitäten und einer serverseitigen Anfragefälschung führt. Ein aus der Ferne authentifizierter Angreifer könnte diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen." } ], "release_date" : "2024-05-26T22:00:00.000+00:00", "title" : "CVE-2024-4189" }, { "cve" : "CVE-2024-4690", "notes" : [ { "category" : "description", "text" : "In Jenkins existieren mehrere Schwachstellen. Diese Schwachstellen betreffen das OpenText Application Automation Tools-Plugin aufgrund einer unsachgemäßen Konfiguration des XML-Parsers, was zu einem Angriff auf externe XML-Entitäten und einer serverseitigen Anfragefälschung führt. Ein aus der Ferne authentifizierter Angreifer könnte diese Schwachstellen ausnutzen, um vertrauliche Informationen offenzulegen." } ], "release_date" : "2024-05-26T22:00:00.000+00:00", "title" : "CVE-2024-4690" }, { "cve" : "CVE-2024-5273", "notes" : [ { "category" : "description", "text" : "In Jenkins existieren mehrere Schwachstellen. Diese Schwachstelle betrifft das Report Info Plugin aufgrund einer unsachgemäßen Dateivalidierung, die zu einer Pfadumgehung führt. Ein entfernter authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen." } ], "product_status" : { "last_affected" : [ "T035071" ] }, "release_date" : "2024-05-26T22:00:00.000+00:00", "title" : "CVE-2024-5273" }, { "cve" : "CVE-2024-4211", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in Jenkins. Diese Fehler betreffen das OpenText Application Automation Tools Plugin aufgrund einer fehlenden Berechtigungsprüfung in mehreren HTTP-Endpunkten. Ein entfernter authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um ALM-Job-Konfigurationen, ALM-Octane-Konfigurationen und Service-Virtualisierungskonfigurationen aufzuzählen und so vertrauliche Informationen offenzulegen." } ], "release_date" : "2024-05-26T22:00:00.000+00:00", "title" : "CVE-2024-4211" }, { "cve" : "CVE-2024-4691", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in Jenkins. Diese Fehler betreffen das OpenText Application Automation Tools Plugin aufgrund einer fehlenden Berechtigungsprüfung in mehreren HTTP-Endpunkten. Ein entfernter authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um ALM-Job-Konfigurationen, ALM-Octane-Konfigurationen und Service-Virtualisierungskonfigurationen aufzuzählen und so vertrauliche Informationen offenzulegen." } ], "release_date" : "2024-05-26T22:00:00.000+00:00", "title" : "CVE-2024-4691" }, { "cve" : "CVE-2024-4692", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in Jenkins. Diese Fehler betreffen das OpenText Application Automation Tools Plugin aufgrund einer fehlenden Berechtigungsprüfung in mehreren HTTP-Endpunkten. Ein entfernter authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um ALM-Job-Konfigurationen, ALM-Octane-Konfigurationen und Service-Virtualisierungskonfigurationen aufzuzählen und so vertrauliche Informationen offenzulegen." } ], "release_date" : "2024-05-26T22:00:00.000+00:00", "title" : "CVE-2024-4692" } ] }