Описание
Уязвимость плагина Jenkins GitLab Branch Source Plugin связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальной информации
Вендор
ООО «Ред Софт»
Косукэ Кавагути
Наименование ПО
РЕД ОС
Jenkins GitLab Branch Source Plugin
Версия ПО
7.3 (РЕД ОС)
до 684.vea_fa_7c1e2fe3 включительно (Jenkins GitLab Branch Source Plugin)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «Ред Софт» РЕД ОС 7.3
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Jenkins GitLab Branch Source Plugin:
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-2871
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 25%
0.0008
Низкий
5.3 Medium
CVSS3
5 Medium
CVSS2
Связанные уязвимости
CVSS3: 5.3
nvd
больше 1 года назад
Jenkins GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3 and earlier uses a non-constant time comparison function when checking whether the provided and expected webhook token are equal, potentially allowing attackers to use statistical methods to obtain a valid webhook token.
CVSS3: 3.7
github
больше 1 года назад
Non-constant time webhook token comparison in Jenkins GitLab Branch Source Plugin
EPSS
Процентиль: 25%
0.0008
Низкий
5.3 Medium
CVSS3
5 Medium
CVSS2