{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Jenkins ist ein erweiterbarer, webbasierter Integration Server zur kontinuierlichen Unterstützung bei Softwareentwicklungen aller Art.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Jenkins ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Dateien zu manipulieren oder einen Cross-Site-Scripting-Angriff durchzuführen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- UNIX\n- Linux\n- Windows\n- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-0432 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2021/wid-sec-w-2023-0432.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-0432 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0432"
    }, {
      "category" : "external",
      "summary" : "Red Hat Security Advisory RHSA-2023:0769 vom 2023-02-21",
      "url" : "https://access.redhat.com/errata/RHSA-2023:0769"
    }, {
      "category" : "external",
      "summary" : "Jenkins Security Advisory vom 2021-10-06",
      "url" : "https://www.jenkins.io/security/advisory/2021-10-06/"
    }, {
      "category" : "external",
      "summary" : "Red Hat Security Advisory RHSA-2022:0055 vom 2022-03-10",
      "url" : "https://access.redhat.com/errata/RHSA-2022:0055"
    }, {
      "category" : "external",
      "summary" : "Red Hat Security Advisory RHSA-2022:0056 vom 2022-03-10",
      "url" : "https://access.redhat.com/errata/RHSA-2022:0056"
    } ],
    "source_lang" : "en-US",
    "title" : "Jenkins: Mehrere Schwachstellen",
    "tracking" : {
      "current_release_date" : "2023-02-20T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:44:22.216+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-0432",
      "initial_release_date" : "2021-10-06T22:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2021-10-06T22:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      }, {
        "date" : "2021-10-07T22:00:00.000+00:00",
        "number" : "2",
        "summary" : "Referenz(en) aufgenommen: 2011949"
      }, {
        "date" : "2022-03-10T23:00:00.000+00:00",
        "number" : "3",
        "summary" : "Neue Updates von Red Hat aufgenommen"
      }, {
        "date" : "2023-02-20T23:00:00.000+00:00",
        "number" : "4",
        "summary" : "Neue Updates von Red Hat aufgenommen"
      } ],
      "status" : "final",
      "version" : "4"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_name",
          "name" : "Jenkins Jenkins plugins",
          "product" : {
            "name" : "Jenkins Jenkins plugins",
            "product_id" : "T013614",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:cloudbees:jenkins:plugins"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "Jenkins Jenkins < 2.315",
          "product" : {
            "name" : "Jenkins Jenkins < 2.315",
            "product_id" : "T020571",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:cloudbees:jenkins:2.315"
            }
          }
        }, {
          "category" : "product_name",
          "name" : "Jenkins Jenkins < LTS 2.303.2",
          "product" : {
            "name" : "Jenkins Jenkins < LTS 2.303.2",
            "product_id" : "T020572",
            "product_identification_helper" : {
              "cpe" : "cpe:/a:cloudbees:jenkins:lts_2.303.2"
            }
          }
        } ],
        "category" : "product_name",
        "name" : "Jenkins"
      } ],
      "category" : "vendor",
      "name" : "Jenkins"
    }, {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Red Hat Enterprise Linux",
        "product" : {
          "name" : "Red Hat Enterprise Linux",
          "product_id" : "67646",
          "product_identification_helper" : {
            "cpe" : "cpe:/o:redhat:enterprise_linux:-"
          }
        }
      }, {
        "category" : "product_name",
        "name" : "Red Hat OpenShift Container Platform 4.12",
        "product" : {
          "name" : "Red Hat OpenShift Container Platform 4.12",
          "product_id" : "T026435",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:redhat:openshift:container_platform_4.12"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Red Hat"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2014-3577",
    "notes" : [ {
      "category" : "description",
      "text" : "In Jenkins existieren mehrere Schwachstellen. Die Schwachstellen bestehen im Jenkins Core sowie in verschiedenen Plugins. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen oder einen Cross-Site-Scripting-Angriff durchzuführen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "67646", "T013614", "T026435" ]
    },
    "release_date" : "2021-10-06T22:00:00.000+00:00",
    "title" : "CVE-2014-3577"
  }, {
    "cve" : "CVE-2021-21682",
    "notes" : [ {
      "category" : "description",
      "text" : "In Jenkins existieren mehrere Schwachstellen. Die Schwachstellen bestehen im Jenkins Core sowie in verschiedenen Plugins. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen oder einen Cross-Site-Scripting-Angriff durchzuführen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "67646", "T013614", "T026435" ]
    },
    "release_date" : "2021-10-06T22:00:00.000+00:00",
    "title" : "CVE-2021-21682"
  }, {
    "cve" : "CVE-2021-21683",
    "notes" : [ {
      "category" : "description",
      "text" : "In Jenkins existieren mehrere Schwachstellen. Die Schwachstellen bestehen im Jenkins Core sowie in verschiedenen Plugins. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen oder einen Cross-Site-Scripting-Angriff durchzuführen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "67646", "T013614", "T026435" ]
    },
    "release_date" : "2021-10-06T22:00:00.000+00:00",
    "title" : "CVE-2021-21683"
  }, {
    "cve" : "CVE-2021-21684",
    "notes" : [ {
      "category" : "description",
      "text" : "In Jenkins existieren mehrere Schwachstellen. Die Schwachstellen bestehen im Jenkins Core sowie in verschiedenen Plugins. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen oder einen Cross-Site-Scripting-Angriff durchzuführen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "known_affected" : [ "67646", "T013614", "T026435" ]
    },
    "release_date" : "2021-10-06T22:00:00.000+00:00",
    "title" : "CVE-2021-21684"
  } ]
}