BDU:2022-05668

Опубликовано: 27 июл. 2022

Источник: fstec

CVSS3: 4.3

CVSS2: 5

EPSS Низкий

Описание

Уязвимость компонента Controller File System Handler плагина Jenkins OpenShift Deployer Plugin связана с недостаточной проверкой подлинности выполняемых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные действия на уязвимом устройстве путем осуществления межсайтовой подделки запросов

Вендор

CD Foundation

Наименование ПО

Jenkins OpenShift Deployer Plugin

Версия ПО

до 1.2.0 включительно (Jenkins OpenShift Deployer Plugin)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,3)

Возможные меры по устранению уязвимости

Организационные меры:

1. Ограничить использование программного средства

2. Использование аналогичного программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-36908
CVE

EPSS

Процентиль: 20%

0.00064

Низкий

4.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

CVE-2022-36908

CVSS3: 6.5

nvd

больше 3 лет назад

A cross-site request forgery (CSRF) vulnerability in Jenkins OpenShift Deployer Plugin 1.2.0 and earlier allows attackers to check for the existence of an attacker-specified file path on the Jenkins controller file system and to upload a SSH key file from the Jenkins controller file system to an attacker-specified URL.

GHSA-5mv2-vqq7-mq5h

CVSS3: 5.4

github