Nodejs-mkdirp
Уязвимости
40
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.86829
Распределение по критичности
Критический
2
Высокий
7
Средний
25
Низкий
6
Также сопоставлено как (исходные строки): nodejs-mkdirp
Топ уязвимостей
CVE-2016-1906Openshift позволяет удаленным злоумышленникам получить привилегии, обновив конфигурацию сборки, созданную с разрешенным типом, до типа, который не разрешен.
CVE-2015-8103Подсистема Jenkins CLI в Jenkins до версии 1.638 и LTS до версии 1.625.2 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный сериализованный объект Java, связанный с проблемным файлом webapps/ROOT/WEB-INF/lib/commons-collections-*.jar и "Groovy variant in 'ysoserial'".
CVE-2015-7538Jenkins версий до 1.640 и LTS версий до 1.625.2 позволяют удаленным злоумышленникам обходить механизм защиты CSRF через неуказанные векторы.
CVE-2015-7537Уязвимость межсайтовой подделки запросов (CSRF) в Jenkins версий до 1.640 и LTS версий до 1.625.2 позволяет удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, которые имеют неуказанное воздействие через векторы, связанные с методом HTTP GET.
CVE-2016-1905API-сервер в Kubernetes неправильно проверяет контроль допуска, что позволяет удаленным аутентифицированным пользователям получать доступ к дополнительным ресурсам через специально созданный исправленный объект.
CVE-2015-7539Менеджер плагинов в Jenkins версий до 1.640 и LTS версий до 1.625.2 не проверяет контрольные суммы для файлов плагинов, на которые есть ссылки в данных сайта обновления, что облегчает злоумышленникам типа "человек посередине" выполнение произвольного кода через поддельный плагин.
CVE-2015-5317Страницы отпечатков в Jenkins до 1.638 и LTS до 1.625.2 могут позволить удаленным злоумышленникам получить конфиденциальную информацию о заданиях и именах сборок через прямой запрос.
CVE-2015-1814Сервис выдачи токенов API в Jenkins до версии 1.606 и LTS до версии 1.596.2 позволяет удаленным злоумышленникам получать привилегии через "принудительное изменение токена API", затрагивающее анонимных пользователей.
CVE-2013-2186Класс DiskFileItem в Apache Commons FileUpload, используемый в Red Hat JBoss BRMS 5.3.1; JBoss Portal 4.3 CP07, 5.2.2 и 6.0.0; и Red Hat JBoss Web Server 1.0.2 позволяет удаленным злоумышленникам записывать в произвольные файлы через нулевой байт в имени файла в сериализованном экземпляре.
CVE-2015-5320Jenkins до версии 1.638 и LTS до версии 1.625.2 неправильно проверяет общий секрет, используемый в JNLP-соединениях slave, что позволяет удаленным злоумышленникам подключаться в качестве slave и получать конфиденциальную информацию или, возможно, получать административный доступ, используя знание имени slave.
CVE-2014-3666Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным злоумышленникам выполнить произвольный код через специально созданный пакет в канал CLI.
CVE-2017-12195Обнаружена уязвимость во всех версиях Openshift Enterprise, использующих плагин openshift elasticsearch. Злоумышленник, знающий данное имя, используемое для аутентификации и доступа к Elasticsearch, может позже получить доступ к нему без токена, обходя аутентификацию. Эта атака также требует, чтобы Elasticsearch был настроен с внешним маршрутом, а доступ к данным был ограничен индексами.
CVE-2015-1806Скрипт Groovy для комбинированного фильтра в Jenkins до версии 1.600 и LTS до версии 1.596.1 позволяет удаленным аутентифицированным пользователям с разрешением на настройку заданий получать привилегии и выполнять произвольный код на мастере через неуказанные векторы.
CVE-2013-2034Множественные cross-site request forgery (CSRF) уязвимости в Jenkins до 1.514, LTS до 1.509.1 и Enterprise 1.466.x до 1.466.14.1 и 1.480.x до 1.480.4.1 позволяют удаленным злоумышленникам перехватывать аутентификацию администраторов для запросов, которые (1) выполняют произвольный код или (2) инициируют развертывание бинарных файлов в репозиторий Maven через неуказанные векторы.
CVE-2017-15138Кластерное чтение OpenShift Enterprise может получить доступ к токенам веб-перехватчика, что позволит злоумышленнику с достаточными привилегиями просматривать конфиденциальные токены веб-перехватчика.
CVE-2015-5321Виджеты боковой панели в обзоре команд CLI и на страницах справки в Jenkins до версии 1.638 и LTS до версии 1.625.2 позволяют удаленным злоумышленникам получать конфиденциальную информацию через прямой запрос к страницам.
CVE-2014-3680Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным аутентифицированным пользователям с разрешением Job/READ получать значение по умолчанию для поля пароля параметризованного задания, читая DOM.
CVE-2014-3667Jenkins до версии 1.583 и LTS до версии 1.565.3 не предотвращает должным образом загрузку плагинов, что позволяет удаленным аутентифицированным пользователям с разрешением Overall/READ получать конфиденциальную информацию, читая код плагина.
CVE-2014-3664Уязвимость обхода каталогов в Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным аутентифицированным пользователям с разрешением Overall/READ читать произвольные файлы через неуказанные векторы.
CVE-2014-3663Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным аутентифицированным пользователям с разрешением Job/CONFIGURE обходить предполагаемые ограничения и создавать или уничтожать произвольные задания через неуказанные векторы.
CVE-2014-3662Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным злоумышленникам перечислять имена пользователей через векторы, связанные с попытками входа в систему.
CVE-2014-3661Jenkins до версии 1.583 и LTS до версии 1.565.3 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (потребление потоков) через векторы, связанные с рукопожатием CLI.
CVE-2015-5325Jenkins до версии 1.638 и LTS до версии 1.625.2 позволяет злоумышленникам обходить предполагаемые ограничения доступа slave-to-master, используя JNLP slave. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления для CVE-2014-3665.
CVE-2015-1810Класс HudsonPrivateSecurityRealm в Jenkins до версии 1.600 и LTS до версии 1.596.1 не ограничивает доступ к зарезервированным именам при использовании настройки "Собственная база данных пользователей Jenkins", что позволяет удаленным злоумышленникам получать привилегии, создавая зарезервированное имя.
CVE-2017-15137Список разрешенных для импорта образов OpenShift не обеспечивал правильное применение ограничений при выполнении таких команд, как, например, «oc tag». Это могло позволить пользователю с доступом к OpenShift запускать образы из реестров, которые не должны быть разрешены.