BDU:2023-01934

Опубликовано: 20 мар. 2023

Источник: fstec

CVSS3: 5.5

CVSS2: 5.2

EPSS Низкий

Описание

Уязвимость компонента Freestyle Project Configuration Handler плагина Convert To Pipeline Plugin связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Convert To Pipeline Plugin

Версия ПО

1.0 (Convert To Pipeline Plugin)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,2)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

http://jenkins.io/security/advisory/2023-03-21/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-28677
CVE

EPSS

Процентиль: 71%

0.00695

Низкий

5.5 Medium

CVSS3

5.2 Medium

CVSS2

Связанные уязвимости

CVE-2023-28677

CVSS3: 9.8

nvd

почти 3 года назад

Jenkins Convert To Pipeline Plugin 1.0 and earlier uses basic string concatenation to convert Freestyle projects' Build Environment, Build Steps, and Post-build Actions to the equivalent Pipeline step invocations, allowing attackers able to configure Freestyle projects to prepare a crafted configuration that injects Pipeline script code into the (unsandboxed) Pipeline resulting from a convertion by Jenkins Convert To Pipeline Plugin.

GHSA-7c44-m589-36w7

CVSS3: 8

github