BDU:2023-02391

Опубликовано: 12 апр. 2023

Источник: fstec

CVSS3: 5.4

CVSS2: 6.4

EPSS Низкий

Описание

Уязвимость плагина Jenkins Image Tag Parameter Plugin связана с неправильным подтверждением подлинности сертификата SSL/TLS при подключении к реестрам платформы Docker. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

CD Foundation

Наименование ПО

Jenkins Image Tag Parameter Plugin

Версия ПО

2.0 (Jenkins Image Tag Parameter Plugin)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- мониторинг действий пользователей;

- использование средств антивирусной защиты для ограничения возможности эксплуатации уязвимости;

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-30516
CVE

EPSS

Процентиль: 17%

0.00054

Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

CVE-2023-30516

CVSS3: 6.5

nvd

почти 3 года назад

Jenkins Image Tag Parameter Plugin 2.0 improperly introduces an option to opt out of SSL/TLS certificate validation when connecting to Docker registries, resulting in job configurations using Image Tag Parameters that were created before 2.0 having SSL/TLS certificate validation disabled by default.

GHSA-38jc-2rwx-qgxr

CVSS3: 5.3

github