Описание
Уязвимость сервера автоматизации Jenkins связана с отсутствием процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, создать родительские каталоги в FilePath#mkdirs
Вендор
Red Hat Inc.
CD Foundation
Наименование ПО
OpenShift Container Platform
Jenkins
Версия ПО
3.11 (OpenShift Container Platform)
4.6 (OpenShift Container Platform)
4.7 (OpenShift Container Platform)
до 2.318 включительно (Jenkins)
до 2.303.2 LTS включительно (Jenkins)
4.8 (OpenShift Container Platform)
4.9 (OpenShift Container Platform)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://www.jenkins.io/security/advisory/2021-11-04/#SECURITY-2455
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-21685
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 42%
0.00197
Низкий
9.1 Critical
CVSS3
9.4 Critical
CVSS2
Связанные уязвимости
CVSS3: 9
redhat
больше 4 лет назад
Jenkins 2.318 and earlier, LTS 2.303.2 and earlier does not check agent-to-controller access to create parent directories in FilePath#mkdirs.
CVSS3: 9.1
nvd
больше 4 лет назад
Jenkins 2.318 and earlier, LTS 2.303.2 and earlier does not check agent-to-controller access to create parent directories in FilePath#mkdirs.
CVSS3: 9.1
debian
больше 4 лет назад
Jenkins 2.318 and earlier, LTS 2.303.2 and earlier does not check agen ...
CVSS3: 9
github
больше 3 лет назад
Multiple vulnerabilities allow bypassing path filtering of agent-to-controller access control in Jenkins
EPSS
Процентиль: 42%
0.00197
Низкий
9.1 Critical
CVSS3
9.4 Critical
CVSS2