Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00899

Опубликовано: 24 янв. 2024
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость библиотеки args4j плагина Jenkins Git server Plugin связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать первые две строки произвольных файлов

Вендор

ООО «Ред Софт»
Косукэ Кавагути

Наименование ПО

РЕД ОС
Jenkins Git server Plugin

Версия ПО

7.3 (РЕД ОС)
до Git 99.va_0826a_b_cdfa_d включительно (Jenkins Git server Plugin)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Jenkins Git server Plugin:
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3319
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 62%
0.00437
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-23899

CVSS3: 8.8
redhat
больше 1 года назад

Jenkins Git server Plugin 99.va_0826a_b_cdfa_d and earlier does not disable a feature of its command parser that replaces an '@' character followed by a file path in an argument with the file's contents, allowing attackers with Overall/Read permission to read content from arbitrary files on the Jenkins controller file system.

nvd логотип

CVE-2024-23899

CVSS3: 6.5
nvd
больше 1 года назад

Jenkins Git server Plugin 99.va_0826a_b_cdfa_d and earlier does not disable a feature of its command parser that replaces an '@' character followed by a file path in an argument with the file's contents, allowing attackers with Overall/Read permission to read content from arbitrary files on the Jenkins controller file system.

redos логотип

ROS-20240411-08

CVSS3: 8.8
redos
около 1 года назад

Множественные уязвимости jenkins

github логотип

GHSA-vph5-2q33-7r9h

CVSS3: 8.8
github
больше 1 года назад

Arbitrary file read vulnerability in Git server Plugin can lead to RCE

EPSS

Процентиль: 62%
0.00437
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2