cvelistv5 - CVE-2023-33001

▼	URL	Tags
	jenkinsci-cert@googlegroups.com	https://www.jenkins.io/security/advisory/2023-05-16/#SECURITY-3077	Vendor Advisory
	af854a3a-2127-422b-91ae-364da2661108	https://www.jenkins.io/security/advisory/2023-05-16/#SECURITY-3077	Vendor Advisory

▼	Vendor	Product
	Jenkins Project	Jenkins HashiCorp Vault Plugin

gsd-2023-33001

Vulnerability from gsd

Modified

2023-12-13 01:20

Details

Jenkins HashiCorp Vault Plugin 360.v0a_1c04cf807d and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.

Aliases

CVE-2023-33001

Aliases

CVE-2023-33001

JSON

To clipboard

{
  "GSD": {
    "alias": "CVE-2023-33001",
    "id": "GSD-2023-33001"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2023-33001"
      ],
      "details": "Jenkins HashiCorp Vault Plugin 360.v0a_1c04cf807d and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.",
      "id": "GSD-2023-33001",
      "modified": "2023-12-13T01:20:36.974435Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "jenkinsci-cert@googlegroups.com",
        "ID": "CVE-2023-33001",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "Jenkins HashiCorp Vault Plugin",
                    "version": {
                      "version_data": [
                        {
                          "version_affected": "\u003c=",
                          "version_name": "0",
                          "version_value": "360.v0a_1c04cf807d"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "Jenkins Project"
            }
          ]
        }
      },
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "Jenkins HashiCorp Vault Plugin 360.v0a_1c04cf807d and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled."
          }
        ]
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "lang": "eng",
                "value": "n/a"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://www.jenkins.io/security/advisory/2023-05-16/#SECURITY-3077",
            "refsource": "MISC",
            "url": "https://www.jenkins.io/security/advisory/2023-05-16/#SECURITY-3077"
          }
        ]
      }
    },
    "gitlab.com": {
      "advisories": [
        {
          "affected_range": "(,360.v0a]",
          "affected_versions": "All versions up to 360.v0a",
          "cvss_v3": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
          "cwe_ids": [
            "CWE-1035",
            "CWE-532",
            "CWE-937"
          ],
          "date": "2023-05-25",
          "description": "Jenkins HashiCorp Vault Plugin 360.v0a_1c04cf807d and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled.",
          "fixed_versions": [],
          "identifier": "CVE-2023-33001",
          "identifiers": [
            "GHSA-v3fv-v9m6-26g3",
            "CVE-2023-33001"
          ],
          "not_impacted": "",
          "package_slug": "maven/com.datapipe.jenkins.plugins/hashicorp-vault-plugin",
          "pubdate": "2023-05-16",
          "solution": "Unfortunately, there is no solution available yet.",
          "title": "Insertion of Sensitive Information into Log File",
          "urls": [
            "https://nvd.nist.gov/vuln/detail/CVE-2023-33001",
            "https://www.jenkins.io/security/advisory/2023-05-16/#SECURITY-3077",
            "https://github.com/advisories/GHSA-v3fv-v9m6-26g3"
          ],
          "uuid": "a895344b-25fe-494a-bdea-1b9967d81f58"
        }
      ]
    },
    "nvd.nist.gov": {
      "configurations": {
        "CVE_data_version": "4.0",
        "nodes": [
          {
            "children": [],
            "cpe_match": [
              {
                "cpe23Uri": "cpe:2.3:a:jenkins:hashicorp_vault:*:*:*:*:*:wordpress:*:*",
                "cpe_name": [],
                "versionEndIncluding": "360.v0a_1c04cf807d",
                "vulnerable": true
              }
            ],
            "operator": "OR"
          }
        ]
      },
      "cve": {
        "CVE_data_meta": {
          "ASSIGNER": "jenkinsci-cert@googlegroups.com",
          "ID": "CVE-2023-33001"
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "en",
              "value": "Jenkins HashiCorp Vault Plugin 360.v0a_1c04cf807d and earlier does not properly mask (i.e., replace with asterisks) credentials in the build log when push mode for durable task logging is enabled."
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "en",
                  "value": "CWE-532"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://www.jenkins.io/security/advisory/2023-05-16/#SECURITY-3077",
              "refsource": "MISC",
              "tags": [
                "Vendor Advisory"
              ],
              "url": "https://www.jenkins.io/security/advisory/2023-05-16/#SECURITY-3077"
            }
          ]
        }
      },
      "impact": {
        "baseMetricV3": {
          "cvssV3": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 7.5,
            "baseSeverity": "HIGH",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "NONE",
            "privilegesRequired": "NONE",
            "scope": "UNCHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N",
            "version": "3.1"
          },
          "exploitabilityScore": 3.9,
          "impactScore": 3.6
        }
      },
      "lastModifiedDate": "2023-05-25T18:40Z",
      "publishedDate": "2023-05-16T17:15Z"
    }
  }
}

wid-sec-w-2023-1228

Vulnerability from csaf_certbund

Published

2023-05-16 22:00

Modified

2023-06-25 22:00

Summary

Jenkins Plugins: Mehrere Schwachstellen ermöglichen Manipulation von Dateien

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung bei Softwareentwicklungen aller Art.

Angriff

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in verschiedenen Jenkins Plugins ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuführen, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuführen.

Betroffene Betriebssysteme

- UNIX - Linux - MacOS X - Windows

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterst\u00fctzung bei Softwareentwicklungen aller Art.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in verschiedenen Jenkins Plugins ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- MacOS X\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-1228 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-1228.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-1228 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1228"
      },
      {
        "category": "external",
        "summary": "Red Hat Security Advisory RHSA-2023:3625 vom 2023-06-23",
        "url": "https://access.redhat.com/errata/RHSA-2023:3625"
      },
      {
        "category": "external",
        "summary": "Red Hat Security Advisory RHSA-2023:3626 vom 2023-06-23",
        "url": "https://access.redhat.com/errata/RHSA-2023:3626"
      },
      {
        "category": "external",
        "summary": "Red Hat Security Advisory RHSA-2023:3663 vom 2023-06-19",
        "url": "https://access.redhat.com/errata/RHSA-2023:3663"
      },
      {
        "category": "external",
        "summary": "Red Hat Security Advisory RHSA-2023:3610 vom 2023-06-15",
        "url": "https://access.redhat.com/errata/RHSA-2023:3610"
      },
      {
        "category": "external",
        "summary": "Jenkins Security Advisory vom 2023-05-16",
        "url": "https://www.jenkins.io/security/advisory/2023-05-16/"
      }
    ],
    "source_lang": "en-US",
    "title": "Jenkins Plugins: Mehrere Schwachstellen erm\u00f6glichen Manipulation von Dateien",
    "tracking": {
      "current_release_date": "2023-06-25T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:50:57.122+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-1228",
      "initial_release_date": "2023-05-16T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-05-16T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        },
        {
          "date": "2023-06-14T22:00:00.000+00:00",
          "number": "2",
          "summary": "Neue Updates von Red Hat aufgenommen"
        },
        {
          "date": "2023-06-19T22:00:00.000+00:00",
          "number": "3",
          "summary": "Neue Updates von Red Hat aufgenommen"
        },
        {
          "date": "2023-06-25T22:00:00.000+00:00",
          "number": "4",
          "summary": "Neue Updates von Red Hat aufgenommen"
        }
      ],
      "status": "final",
      "version": "4"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "Jenkins Jenkins plugins",
            "product": {
              "name": "Jenkins Jenkins plugins",
              "product_id": "T013614",
              "product_identification_helper": {
                "cpe": "cpe:/a:cloudbees:jenkins:plugins"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "Jenkins"
      },
      {
        "branches": [
          {
            "category": "product_name",
            "name": "Red Hat Enterprise Linux",
            "product": {
              "name": "Red Hat Enterprise Linux",
              "product_id": "67646",
              "product_identification_helper": {
                "cpe": "cpe:/o:redhat:enterprise_linux:-"
              }
            }
          },
          {
            "category": "product_name",
            "name": "Red Hat OpenShift Container Platform \u003c 4.10.62",
            "product": {
              "name": "Red Hat OpenShift Container Platform \u003c 4.10.62",
              "product_id": "T028308",
              "product_identification_helper": {
                "cpe": "cpe:/a:redhat:openshift:container_platform__4.10.62"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "Red Hat"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-33007",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-33007"
    },
    {
      "cve": "CVE-2023-33006",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-33006"
    },
    {
      "cve": "CVE-2023-33005",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-33005"
    },
    {
      "cve": "CVE-2023-33004",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-33004"
    },
    {
      "cve": "CVE-2023-33003",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-33003"
    },
    {
      "cve": "CVE-2023-33002",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-33002"
    },
    {
      "cve": "CVE-2023-33001",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-33001"
    },
    {
      "cve": "CVE-2023-33000",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-33000"
    },
    {
      "cve": "CVE-2023-32999",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32999"
    },
    {
      "cve": "CVE-2023-32998",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32998"
    },
    {
      "cve": "CVE-2023-32997",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32997"
    },
    {
      "cve": "CVE-2023-32996",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32996"
    },
    {
      "cve": "CVE-2023-32995",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32995"
    },
    {
      "cve": "CVE-2023-32994",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32994"
    },
    {
      "cve": "CVE-2023-32993",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32993"
    },
    {
      "cve": "CVE-2023-32992",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32992"
    },
    {
      "cve": "CVE-2023-32991",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32991"
    },
    {
      "cve": "CVE-2023-32990",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32990"
    },
    {
      "cve": "CVE-2023-32989",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32989"
    },
    {
      "cve": "CVE-2023-32988",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32988"
    },
    {
      "cve": "CVE-2023-32987",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32987"
    },
    {
      "cve": "CVE-2023-32986",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32986"
    },
    {
      "cve": "CVE-2023-32985",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32985"
    },
    {
      "cve": "CVE-2023-32984",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32984"
    },
    {
      "cve": "CVE-2023-32983",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32983"
    },
    {
      "cve": "CVE-2023-32982",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32982"
    },
    {
      "cve": "CVE-2023-32981",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32981"
    },
    {
      "cve": "CVE-2023-32980",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32980"
    },
    {
      "cve": "CVE-2023-32979",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32979"
    },
    {
      "cve": "CVE-2023-32978",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32978"
    },
    {
      "cve": "CVE-2023-32977",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-32977"
    },
    {
      "cve": "CVE-2023-2633",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-2633"
    },
    {
      "cve": "CVE-2023-2632",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-2632"
    },
    {
      "cve": "CVE-2023-2631",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-2631"
    },
    {
      "cve": "CVE-2023-2196",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-2196"
    },
    {
      "cve": "CVE-2023-2195",
      "notes": [
        {
          "category": "description",
          "text": "In verschiedenen Jenkins Plugins existieren mehrere Schwachstellen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff-durchzuf\u00fchren, Dateien zu manipulieren, Informationen offenzulegen, Sicherheitsvorkehrungen zu umgehen oder einen Cross-Site-Request-Forgery-Angriff durchzuf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "67646",
          "T013614",
          "T028308"
        ]
      },
      "release_date": "2023-05-16T22:00:00.000+00:00",
      "title": "CVE-2023-2195"
    }
  ]
}

ghsa-v3fv-v9m6-26g3

Vulnerability from github

Published

2023-05-16 18:30

Modified

2023-05-17 03:36

Severity ?

4.3 (Medium) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Summary

Jenkins HashiCorp Vault Plugin has improper masking of credentials

Details

Jenkins HashiCorp Vault Plugin 360.v0a_1c04cf807d and earlier does not properly mask (i.e., replace with asterisks) credentials printed in the build log from Pipeline steps like sh and bat, when both of the following conditions are met:

The credentials are printed in build steps executing on an agent (typically inside a node block).
Push mode for durable task logging is enabled. This is a hidden option in Pipeline: Nodes and Processes that can be enabled through the Java system property org.jenkinsci.plugins.workflow.steps.durable_task.DurableTaskStep.USE_WATCHING. It is also automatically enabled by some plugins, e.g., OpenTelemetry and Pipeline Logging over CloudWatch.

An improvement in Credentials Binding 523.525.vb_72269281873 implements a workaround that applies build log masking even in affected plugins. This workaround is temporary and potentially incomplete, so it is still recommended that affected plugins be updated to resolve this issue.

As of publication of this advisory, there is no fix.

Show details on source website

JSON

To clipboard

{
  "affected": [
    {
      "package": {
        "ecosystem": "Maven",
        "name": "com.datapipe.jenkins.plugins:hashicorp-vault-plugin"
      },
      "ranges": [
        {
          "events": [
            {
              "introduced": "0"
            },
            {
              "last_affected": "360.v0a"
            }
          ],
          "type": "ECOSYSTEM"
        }
      ]
    }
  ],
  "aliases": [
    "CVE-2023-33001"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-532"
    ],
    "github_reviewed": true,
    "github_reviewed_at": "2023-05-17T03:36:48Z",
    "nvd_published_at": "2023-05-16T17:15:12Z",
    "severity": "MODERATE"
  },
  "details": "Jenkins HashiCorp Vault Plugin 360.v0a_1c04cf807d and earlier does not properly mask (i.e., replace with asterisks) credentials printed in the build log from Pipeline steps like `sh` and `bat`, when both of the following conditions are met:\n\n- The credentials are printed in build steps executing on an agent (typically inside a `node` block).\n\n- Push mode for durable task logging is enabled. This is a hidden option in Pipeline: Nodes and Processes that can be enabled through the Java system property `org.jenkinsci.plugins.workflow.steps.durable_task.DurableTaskStep.USE_WATCHING`. It is also automatically enabled by some plugins, e.g., OpenTelemetry and Pipeline Logging over CloudWatch.\n\nAn improvement in Credentials Binding 523.525.vb_72269281873 implements a workaround that applies build log masking even in affected plugins. This workaround is temporary and potentially incomplete, so it is still recommended that affected plugins be updated to resolve this issue.\n\nAs of publication of this advisory, there is no fix.",
  "id": "GHSA-v3fv-v9m6-26g3",
  "modified": "2023-05-17T03:36:48Z",
  "published": "2023-05-16T18:30:16Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2023-33001"
    },
    {
      "type": "WEB",
      "url": "https://www.jenkins.io/security/advisory/2023-05-16/#SECURITY-3077"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N",
      "type": "CVSS_V3"
    }
  ],
  "summary": "Jenkins HashiCorp Vault Plugin has improper masking of credentials"
}

Action not permitted

CVE-2023-33001

Vulnerability from cvelistv5

gsd-2023-33001

Vulnerability from gsd

wid-sec-w-2023-1228

Vulnerability from csaf_certbund

ghsa-v3fv-v9m6-26g3

Vulnerability from github

Tags