cvelistv5 - CVE-2023-30514

CVE-2023-30514

Vulnerability from cvelistv5

Published

2023-04-12 17:05

Modified

2025-02-07 19:23

Severity ?

7.5 (High) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Summary

Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.

References

URL	Tags
jenkinsci-cert@googlegroups.com	http://www.openwall.com/lists/oss-security/2023/04/13/3	Mailing List, Third Party Advisory
jenkinsci-cert@googlegroups.com	https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	http://www.openwall.com/lists/oss-security/2023/04/13/3	Mailing List, Third Party Advisory
af854a3a-2127-422b-91ae-364da2661108	https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075	Vendor Advisory

Impacted products

	Vendor	Product	Version
	Jenkins Project	Jenkins Azure Key Vault Plugin	Version: 0

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-02T14:28:51.450Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "name": "Jenkins Security Advisory 2023-04-12",
            "tags": [
              "vendor-advisory",
              "x_transferred"
            ],
            "url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075"
          },
          {
            "tags": [
              "x_transferred"
            ],
            "url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
          }
        ],
        "title": "CVE Program Container"
      },
      {
        "metrics": [
          {
            "cvssV3_1": {
              "attackComplexity": "LOW",
              "attackVector": "NETWORK",
              "availabilityImpact": "NONE",
              "baseScore": 7.5,
              "baseSeverity": "HIGH",
              "confidentialityImpact": "HIGH",
              "integrityImpact": "NONE",
              "privilegesRequired": "NONE",
              "scope": "UNCHANGED",
              "userInteraction": "NONE",
              "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
              "version": "3.1"
            }
          },
          {
            "other": {
              "content": {
                "id": "CVE-2023-30514",
                "options": [
                  {
                    "Exploitation": "none"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "partial"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2025-02-07T19:23:15.623722Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          }
        ],
        "problemTypes": [
          {
            "descriptions": [
              {
                "cweId": "CWE-319",
                "description": "CWE-319 Cleartext Transmission of Sensitive Information",
                "lang": "en",
                "type": "CWE"
              }
            ]
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-02-07T19:23:20.193Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "title": "CISA ADP Vulnrichment"
      }
    ],
    "cna": {
      "affected": [
        {
          "defaultStatus": "unaffected",
          "product": "Jenkins Azure Key Vault Plugin",
          "vendor": "Jenkins Project",
          "versions": [
            {
              "lessThanOrEqual": "187.va_cd5fecd198a_",
              "status": "affected",
              "version": "0",
              "versionType": "maven"
            }
          ]
        }
      ],
      "descriptions": [
        {
          "lang": "en",
          "value": "Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled."
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2023-10-24T12:49:34.352Z",
        "orgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
        "shortName": "jenkins"
      },
      "references": [
        {
          "name": "Jenkins Security Advisory 2023-04-12",
          "tags": [
            "vendor-advisory"
          ],
          "url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075"
        },
        {
          "url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
        }
      ]
    }
  },
  "cveMetadata": {
    "assignerOrgId": "39769cd5-e6e2-4dc8-927e-97b3aa056f5b",
    "assignerShortName": "jenkins",
    "cveId": "CVE-2023-30514",
    "datePublished": "2023-04-12T17:05:06.453Z",
    "dateReserved": "2023-04-12T08:40:40.603Z",
    "dateUpdated": "2025-02-07T19:23:20.193Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1",
  "vulnerability-lookup:meta": {
    "nvd": "{\"cve\":{\"id\":\"CVE-2023-30514\",\"sourceIdentifier\":\"jenkinsci-cert@googlegroups.com\",\"published\":\"2023-04-12T18:15:08.700\",\"lastModified\":\"2025-02-07T20:15:33.517\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N\",\"baseScore\":7.5,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":3.6},{\"source\":\"134c704f-9b21-4f2e-91b3-4a467353bcc0\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N\",\"baseScore\":7.5,\"baseSeverity\":\"HIGH\",\"attackVector\":\"NETWORK\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"NONE\",\"scope\":\"UNCHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"NONE\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":3.9,\"impactScore\":3.6}]},\"weaknesses\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-319\"}]},{\"source\":\"134c704f-9b21-4f2e-91b3-4a467353bcc0\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-319\"}]}],\"configurations\":[{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:jenkins:azure_key_vault:*:*:*:*:*:jenkins:*:*\",\"versionEndIncluding\":\"187.va_cd5fecd198a\",\"matchCriteriaId\":\"8E910850-C7B5-43BC-A521-5A863F037007\"}]}]}],\"references\":[{\"url\":\"http://www.openwall.com/lists/oss-security/2023/04/13/3\",\"source\":\"jenkinsci-cert@googlegroups.com\",\"tags\":[\"Mailing List\",\"Third Party Advisory\"]},{\"url\":\"https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075\",\"source\":\"jenkinsci-cert@googlegroups.com\",\"tags\":[\"Vendor Advisory\"]},{\"url\":\"http://www.openwall.com/lists/oss-security/2023/04/13/3\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Mailing List\",\"Third Party Advisory\"]},{\"url\":\"https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Vendor Advisory\"]}]}}",
    "vulnrichment": {
      "containers": "{\"adp\": [{\"title\": \"CVE Program Container\", \"references\": [{\"url\": \"https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075\", \"name\": \"Jenkins Security Advisory 2023-04-12\", \"tags\": [\"vendor-advisory\", \"x_transferred\"]}, {\"url\": \"http://www.openwall.com/lists/oss-security/2023/04/13/3\", \"tags\": [\"x_transferred\"]}], \"providerMetadata\": {\"orgId\": \"af854a3a-2127-422b-91ae-364da2661108\", \"shortName\": \"CVE\", \"dateUpdated\": \"2024-08-02T14:28:51.450Z\"}}, {\"title\": \"CISA ADP Vulnrichment\", \"metrics\": [{\"cvssV3_1\": {\"scope\": \"UNCHANGED\", \"version\": \"3.1\", \"baseScore\": 7.5, \"attackVector\": \"NETWORK\", \"baseSeverity\": \"HIGH\", \"vectorString\": \"CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N\", \"integrityImpact\": \"NONE\", \"userInteraction\": \"NONE\", \"attackComplexity\": \"LOW\", \"availabilityImpact\": \"NONE\", \"privilegesRequired\": \"NONE\", \"confidentialityImpact\": \"HIGH\"}}, {\"other\": {\"type\": \"ssvc\", \"content\": {\"id\": \"CVE-2023-30514\", \"role\": \"CISA Coordinator\", \"options\": [{\"Exploitation\": \"none\"}, {\"Automatable\": \"yes\"}, {\"Technical Impact\": \"partial\"}], \"version\": \"2.0.3\", \"timestamp\": \"2025-02-07T19:23:15.623722Z\"}}}], \"problemTypes\": [{\"descriptions\": [{\"lang\": \"en\", \"type\": \"CWE\", \"cweId\": \"CWE-319\", \"description\": \"CWE-319 Cleartext Transmission of Sensitive Information\"}]}], \"providerMetadata\": {\"orgId\": \"134c704f-9b21-4f2e-91b3-4a467353bcc0\", \"shortName\": \"CISA-ADP\", \"dateUpdated\": \"2025-02-07T19:23:10.875Z\"}}], \"cna\": {\"affected\": [{\"vendor\": \"Jenkins Project\", \"product\": \"Jenkins Azure Key Vault Plugin\", \"versions\": [{\"status\": \"affected\", \"version\": \"0\", \"versionType\": \"maven\", \"lessThanOrEqual\": \"187.va_cd5fecd198a_\"}], \"defaultStatus\": \"unaffected\"}], \"references\": [{\"url\": \"https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075\", \"name\": \"Jenkins Security Advisory 2023-04-12\", \"tags\": [\"vendor-advisory\"]}, {\"url\": \"http://www.openwall.com/lists/oss-security/2023/04/13/3\"}], \"descriptions\": [{\"lang\": \"en\", \"value\": \"Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.\"}], \"providerMetadata\": {\"orgId\": \"39769cd5-e6e2-4dc8-927e-97b3aa056f5b\", \"shortName\": \"jenkins\", \"dateUpdated\": \"2023-10-24T12:49:34.352Z\"}}}",
      "cveMetadata": "{\"cveId\": \"CVE-2023-30514\", \"state\": \"PUBLISHED\", \"dateUpdated\": \"2025-02-07T19:23:20.193Z\", \"dateReserved\": \"2023-04-12T08:40:40.603Z\", \"assignerOrgId\": \"39769cd5-e6e2-4dc8-927e-97b3aa056f5b\", \"datePublished\": \"2023-04-12T17:05:06.453Z\", \"assignerShortName\": \"jenkins\"}",
      "dataType": "CVE_RECORD",
      "dataVersion": "5.1"
    }
  }
}

WID-SEC-W-2023-0952

Vulnerability from csaf_certbund

Published

2023-04-12 22:00

Modified

2023-04-12 22:00

Summary

Jenkins Plugins: Mehrere Schwachstellen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung bei Softwareentwicklungen aller Art.

Angriff

Ein Angreifer kann mehrere Schwachstellen in Jenkins Plugins ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuführen.

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein Angreifer kann mehrere Schwachstellen in Jenkins Plugins ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-0952 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0952.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-0952 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0952"
      },
      {
        "category": "external",
        "summary": "Jenkins Security Advisory 2023-04-12 vom 2023-04-12",
        "url": "https://www.jenkins.io/security/advisory/2023-04-12/"
      }
    ],
    "source_lang": "en-US",
    "title": "Jenkins Plugins: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-04-12T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:48:44.773+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-0952",
      "initial_release_date": "2023-04-12T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-04-12T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "Jenkins Jenkins Plugins",
            "product": {
              "name": "Jenkins Jenkins Plugins",
              "product_id": "T013614",
              "product_identification_helper": {
                "cpe": "cpe:/a:cloudbees:jenkins:plugins"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "Jenkins"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-30532",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30532"
    },
    {
      "cve": "CVE-2023-30531",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30531"
    },
    {
      "cve": "CVE-2023-30530",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30530"
    },
    {
      "cve": "CVE-2023-30529",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30529"
    },
    {
      "cve": "CVE-2023-30528",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30528"
    },
    {
      "cve": "CVE-2023-30527",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30527"
    },
    {
      "cve": "CVE-2023-30526",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30526"
    },
    {
      "cve": "CVE-2023-30525",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30525"
    },
    {
      "cve": "CVE-2023-30524",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30524"
    },
    {
      "cve": "CVE-2023-30523",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30523"
    },
    {
      "cve": "CVE-2023-30522",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30522"
    },
    {
      "cve": "CVE-2023-30521",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30521"
    },
    {
      "cve": "CVE-2023-30520",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30520"
    },
    {
      "cve": "CVE-2023-30519",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30519"
    },
    {
      "cve": "CVE-2023-30518",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30518"
    },
    {
      "cve": "CVE-2023-30517",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30517"
    },
    {
      "cve": "CVE-2023-30516",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30516"
    },
    {
      "cve": "CVE-2023-30515",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30515"
    },
    {
      "cve": "CVE-2023-30514",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30514"
    },
    {
      "cve": "CVE-2023-30513",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30513"
    }
  ]
}

wid-sec-w-2023-0952

Vulnerability from csaf_certbund

Published

2023-04-12 22:00

Modified

2023-04-12 22:00

Summary

Jenkins Plugins: Mehrere Schwachstellen

Notes

Produktbeschreibung

Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung bei Softwareentwicklungen aller Art.

Angriff

Betroffene Betriebssysteme

- Sonstiges

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein Angreifer kann mehrere Schwachstellen in Jenkins Plugins ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-0952 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0952.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-0952 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0952"
      },
      {
        "category": "external",
        "summary": "Jenkins Security Advisory 2023-04-12 vom 2023-04-12",
        "url": "https://www.jenkins.io/security/advisory/2023-04-12/"
      }
    ],
    "source_lang": "en-US",
    "title": "Jenkins Plugins: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-04-12T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:48:44.773+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-0952",
      "initial_release_date": "2023-04-12T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-04-12T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "Jenkins Jenkins Plugins",
            "product": {
              "name": "Jenkins Jenkins Plugins",
              "product_id": "T013614",
              "product_identification_helper": {
                "cpe": "cpe:/a:cloudbees:jenkins:plugins"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "Jenkins"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-30532",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30532"
    },
    {
      "cve": "CVE-2023-30531",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30531"
    },
    {
      "cve": "CVE-2023-30530",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30530"
    },
    {
      "cve": "CVE-2023-30529",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30529"
    },
    {
      "cve": "CVE-2023-30528",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30528"
    },
    {
      "cve": "CVE-2023-30527",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30527"
    },
    {
      "cve": "CVE-2023-30526",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30526"
    },
    {
      "cve": "CVE-2023-30525",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30525"
    },
    {
      "cve": "CVE-2023-30524",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30524"
    },
    {
      "cve": "CVE-2023-30523",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30523"
    },
    {
      "cve": "CVE-2023-30522",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30522"
    },
    {
      "cve": "CVE-2023-30521",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30521"
    },
    {
      "cve": "CVE-2023-30520",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30520"
    },
    {
      "cve": "CVE-2023-30519",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30519"
    },
    {
      "cve": "CVE-2023-30518",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30518"
    },
    {
      "cve": "CVE-2023-30517",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30517"
    },
    {
      "cve": "CVE-2023-30516",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30516"
    },
    {
      "cve": "CVE-2023-30515",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30515"
    },
    {
      "cve": "CVE-2023-30514",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30514"
    },
    {
      "cve": "CVE-2023-30513",
      "notes": [
        {
          "category": "description",
          "text": "In mehreren Jenkins plugins existieren Schwachstellen. Die Fehler bestehen in den folgenden Plugins: Assembla merge request builder, Azure Key Vault, Consul KV Builder, Fogbugz, Image Tag Parameter, Kubernetes, Lucene-Search, NeuVector Vulnerability Scanner, Quay.io trigger, Report Portal, Thycotic DevOps Secrets Vault, Thycotic Secret Server, TurboScript, WSO2 Oauth u.a. aufgrund fehlender Berechtigungspr\u00fcfungen, fehlender Authentisierung, im Klartext gespeicherter und angezeigter Token und eines CSRF. Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsma\u00dfnahmen zu umgehen, vertrauliche Informationen offenzulegen, Daten zu manipulieren und einen Cross-Site-Scripting-Angriff durchzuf\u00fchren. Die erfolgreiche Ausnutzung einiger dieser Schwachstellen erfordert eine Benutzerinteraktion."
        }
      ],
      "product_status": {
        "known_affected": [
          "T013614"
        ]
      },
      "release_date": "2023-04-12T22:00:00.000+00:00",
      "title": "CVE-2023-30513"
    }
  ]
}

ghsa-gmxm-pr58-v5jc

Vulnerability from github

Published

2023-04-12 18:30

Modified

2023-04-12 22:19

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Summary

Jenkins Azure Key Vault Plugin does not properly mask credentials

Details

Multiple Jenkins plugins do not properly mask (i.e., replace with asterisks) credentials printed in the build log from Pipeline steps like sh and bat, when both of the following conditions are met:

The credentials are printed in build steps executing on an agent (typically inside a node block).
Push mode for durable task logging is enabled. This is a hidden option in Pipeline: Nodes and Processes that can be enabled through the Java system property org.jenkinsci.plugins.workflow.steps.durable_task.DurableTaskStep.USE_WATCHING. It is also automatically enabled by some plugins, e.g., OpenTelemetry and Pipeline Logging over CloudWatch.

The following plugins are affected by this vulnerability:

Kubernetes 3909.v1f2c633e8590 and earlier (SECURITY-3079 / CVE-2023-30513)
Azure Key Vault 187.va_cd5fecd198a_ and earlier (SECURITY-3051 / CVE-2023-30514)
Thycotic DevOps Secrets Vault 1.0.0 (SECURITY-3078 / CVE-2023-30515)

The following plugins have been updated to properly mask credentials in the build log when push mode for durable task logging is enabled:

Kubernetes 3910.ve59cec5e33ea_ (SECURITY-3079 / CVE-2023-30513)
Azure Key Vault 188.vf46b_7fa_846a_1 (SECURITY-3051 / CVE-2023-30514)

As of publication of this advisory, there is no fix available for the following plugin:

Thycotic DevOps Secrets Vault 1.0.0 (SECURITY-3078 / CVE-2023-30515)

Show details on source website

JSON

To clipboard

{
  "affected": [
    {
      "package": {
        "ecosystem": "Maven",
        "name": "org.jenkins-ci.plugins:azure-keyvault"
      },
      "ranges": [
        {
          "events": [
            {
              "introduced": "0"
            },
            {
              "fixed": "188.vf46b"
            }
          ],
          "type": "ECOSYSTEM"
        }
      ]
    }
  ],
  "aliases": [
    "CVE-2023-30514"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-319"
    ],
    "github_reviewed": true,
    "github_reviewed_at": "2023-04-12T22:19:49Z",
    "nvd_published_at": "2023-04-12T18:15:00Z",
    "severity": "MODERATE"
  },
  "details": "Multiple Jenkins plugins do not properly mask (i.e., replace with asterisks) credentials printed in the build log from Pipeline steps like sh and bat, when both of the following conditions are met:\n\n- The credentials are printed in build steps executing on an agent (typically inside a node block).\n\n- Push mode for durable task logging is enabled. This is a hidden option in Pipeline: Nodes and Processes that can be enabled through the Java system property org.jenkinsci.plugins.workflow.steps.durable_task.DurableTaskStep.USE_WATCHING. It is also automatically enabled by some plugins, e.g., OpenTelemetry and Pipeline Logging over CloudWatch.\n\nThe following plugins are affected by this vulnerability:\n\n- Kubernetes 3909.v1f2c633e8590 and earlier (SECURITY-3079 / CVE-2023-30513)\n\n- Azure Key Vault 187.va_cd5fecd198a_ and earlier (SECURITY-3051 / CVE-2023-30514)\n\n- Thycotic DevOps Secrets Vault 1.0.0 (SECURITY-3078 / CVE-2023-30515)\n\nThe following plugins have been updated to properly mask credentials in the build log when push mode for durable task logging is enabled:\n\n- Kubernetes 3910.ve59cec5e33ea_ (SECURITY-3079 / CVE-2023-30513)\n\n- Azure Key Vault 188.vf46b_7fa_846a_1 (SECURITY-3051 / CVE-2023-30514)\n\nAs of publication of this advisory, there is no fix available for the following plugin:\n\n- Thycotic DevOps Secrets Vault 1.0.0 (SECURITY-3078 / CVE-2023-30515)",
  "id": "GHSA-gmxm-pr58-v5jc",
  "modified": "2023-04-12T22:19:49Z",
  "published": "2023-04-12T18:30:37Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-30514"
    },
    {
      "type": "WEB",
      "url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075"
    },
    {
      "type": "WEB",
      "url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N",
      "type": "CVSS_V3"
    }
  ],
  "summary": "Jenkins Azure Key Vault Plugin does not properly mask credentials"
}

gsd-2023-30514

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.

Aliases

CVE-2023-30514

Aliases

CVE-2023-30514

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2023-30514",
    "id": "GSD-2023-30514"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-30514"
      ],
      "details": "Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.",
      "id": "GSD-2023-30514",
      "modified": "2023-12-13T01:20:52.639993Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "jenkinsci-cert@googlegroups.com",
        "ID": "CVE-2023-30514",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "Jenkins Azure Key Vault Plugin",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "\u003c=",
                          "version_name": "0",
                          "version_value": "187.va_cd5fecd198a_"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "Jenkins Project"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled."
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "lang": "eng",
                "value": "n/a"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075",
            "refsource": "MISC",
            "url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075"
          },
          {
            "name": "http://www.openwall.com/lists/oss-security/2023/04/13/3",
            "refsource": "MISC",
            "url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
          }
        ]
      }
    },
    "gitlab.com": {
      "advisories": [
        {
          "affected_range": "(,188.vf46b)",
          "affected_versions": "All versions before 188.vf46b",
          "cwe_ids": [
            "CWE-1035",
            "CWE-937"
          ],
          "date": "2023-04-12",
          "description": "Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.",
          "fixed_versions": [
            "188.vf46b"
          ],
          "identifier": "CVE-2023-30514",
          "identifiers": [
            "GHSA-gmxm-pr58-v5jc",
            "CVE-2023-30514"
          ],
          "not_impacted": "All versions starting from 188.vf46b",
          "package_slug": "maven/org.jenkins-ci.plugins/azure-keyvault",
          "pubdate": "2023-04-12",
          "solution": "Upgrade to version 188.vf46b or above.",
          "title": "Jenkins Azure Key Vault Plugin does not properly mask credentials",
          "urls": [
            "https://nvd.nist.gov/vuln/detail/CVE-2023-30514",
            "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075",
            "https://github.com/advisories/GHSA-gmxm-pr58-v5jc"
          ],
          "uuid": "c6786fae-4fca-455d-abc0-bc4f75c3c945"
        }
      ]
    },
    "nvd.nist.gov": {
      "configurations": {
        "CVE_data_version": "4.0",
        "nodes": [
          {
            "children": [],
            "cpe_match": [
              {
                "cpe23Uri": "cpe:2.3:a:jenkins:azure_key_vault:*:*:*:*:*:jenkins:*:*",
                "cpe_name": [],
                "versionEndIncluding": "187.va_cd5fecd198a",
                "vulnerable": true
              }
            ],
            "operator": "OR"
          }
        ]
      },
      "cve": {
        "CVE_data_meta": {
          "ASSIGNER": "jenkinsci-cert@googlegroups.com",
          "ID": "CVE-2023-30514"
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "en",
              "value": "Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled."
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "en",
                  "value": "CWE-319"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075",
              "refsource": "MISC",
              "tags": [
                "Vendor Advisory"
              ],
              "url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075"
            },
            {
              "name": "http://www.openwall.com/lists/oss-security/2023/04/13/3",
              "refsource": "MISC",
              "tags": [
                "Mailing List",
                "Third Party Advisory"
              ],
              "url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
            }
          ]
        }
      },
      "impact": {
        "baseMetricV3": {
          "cvssV3": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 7.5,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "NONE",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
            "version": "3.1"
          },
          "exploitabilityScore": 3.9,
          "impactScore": 3.6
        }
      },
      "lastModifiedDate": "2023-04-21T16:55Z",
      "publishedDate": "2023-04-12T18:15Z"
    }
  }
}

fkie_cve-2023-30514

Vulnerability from fkie_nvd

Published

2023-04-12 18:15

Modified

2025-02-07 20:15

Severity ?

7.5 (High) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
7.5 (High) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Summary

Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.

References

URL	Tags
jenkinsci-cert@googlegroups.com	http://www.openwall.com/lists/oss-security/2023/04/13/3	Mailing List, Third Party Advisory
jenkinsci-cert@googlegroups.com	https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075	Vendor Advisory
af854a3a-2127-422b-91ae-364da2661108	http://www.openwall.com/lists/oss-security/2023/04/13/3	Mailing List, Third Party Advisory
af854a3a-2127-422b-91ae-364da2661108	https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075	Vendor Advisory

Impacted products

	Vendor	Product	Version
	jenkins	azure_key_vault	*

JSON

To clipboard

{
  "configurations": [
    {
      "nodes": [
        {
          "cpeMatch": [
            {
              "criteria": "cpe:2.3:a:jenkins:azure_key_vault:*:*:*:*:*:jenkins:*:*",
              "matchCriteriaId": "8E910850-C7B5-43BC-A521-5A863F037007",
              "versionEndIncluding": "187.va_cd5fecd198a",
              "vulnerable": true
            }
          ],
          "negate": false,
          "operator": "OR"
        }
      ]
    }
  ],
  "cveTags": [],
  "descriptions": [
    {
      "lang": "en",
      "value": "Jenkins Azure Key Vault Plugin 187.va_cd5fecd198a_ and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled."
    }
  ],
  "id": "CVE-2023-30514",
  "lastModified": "2025-02-07T20:15:33.517",
  "metrics": {
    "cvssMetricV31": [
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 7.5,
          "baseSeverity": "HIGH",
          "confidentialityImpact": "HIGH",
          "integrityImpact": "NONE",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 3.6,
        "source": "nvd@nist.gov",
        "type": "Primary"
      },
      {
        "cvssData": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 7.5,
          "baseSeverity": "HIGH",
          "confidentialityImpact": "HIGH",
          "integrityImpact": "NONE",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "NONE",
          "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
          "version": "3.1"
        },
        "exploitabilityScore": 3.9,
        "impactScore": 3.6,
        "source": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
        "type": "Secondary"
      }
    ]
  },
  "published": "2023-04-12T18:15:08.700",
  "references": [
    {
      "source": "jenkinsci-cert@googlegroups.com",
      "tags": [
        "Mailing List",
        "Third Party Advisory"
      ],
      "url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
    },
    {
      "source": "jenkinsci-cert@googlegroups.com",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Mailing List",
        "Third Party Advisory"
      ],
      "url": "http://www.openwall.com/lists/oss-security/2023/04/13/3"
    },
    {
      "source": "af854a3a-2127-422b-91ae-364da2661108",
      "tags": [
        "Vendor Advisory"
      ],
      "url": "https://www.jenkins.io/security/advisory/2023-04-12/#SECURITY-3075"
    }
  ],
  "sourceIdentifier": "jenkinsci-cert@googlegroups.com",
  "vulnStatus": "Modified",
  "weaknesses": [
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-319"
        }
      ],
      "source": "nvd@nist.gov",
      "type": "Primary"
    },
    {
      "description": [
        {
          "lang": "en",
          "value": "CWE-319"
        }
      ],
      "source": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
      "type": "Secondary"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CVE-2023-30514

Vulnerability from cvelistv5

WID-SEC-W-2023-0952

Vulnerability from csaf_certbund

wid-sec-w-2023-0952

Vulnerability from csaf_certbund

ghsa-gmxm-pr58-v5jc

Vulnerability from github

gsd-2023-30514

Vulnerability from gsd

fkie_cve-2023-30514

Vulnerability from fkie_nvd

Tags

Sightings

Nomenclature