GHSA-264w-xrr7-6qqg

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 8.8

Описание

RCE vulnerability in Jenkins OpenShift Pipeline Plugin

OpenShift Pipeline Plugin 1.0.56 and earlier does not configure its YAML parser to prevent the instantiation of arbitrary types. This results in a remote code execution (RCE) vulnerability exploitable by users able to provide YAML input files to OpenShift Pipeline Plugin’s build step. OpenShift Pipeline Plugin 1.0.57 configures its YAML parser to only instantiate safe types.

Ссылки

Пакеты

Наименование

com.openshift.jenkins:openshift-pipeline

maven

Затронутые версииВерсия исправления

<= 1.0.56

1.0.57

EPSS

Процентиль: 88%

0.03888

Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-2167

Дефекты

CWE-20

CWE-502

Связанные уязвимости

CVE-2020-2167

CVSS3: 8.8

redhat

почти 6 лет назад

Jenkins OpenShift Pipeline Plugin 1.0.56 and earlier does not configure its YAML parser to prevent the instantiation of arbitrary types, resulting in a remote code execution vulnerability.

CVE-2020-2167

CVSS3: 8.8

nvd

почти 6 лет назад

Jenkins OpenShift Pipeline Plugin 1.0.56 and earlier does not configure its YAML parser to prevent the instantiation of arbitrary types, resulting in a remote code execution vulnerability.

BDU:2020-02703

CVSS3: 8.8

fstec

почти 6 лет назад

Уязвимость синтаксического анализатора YAML плагина для работы с сервером OpenShift Jenkins OpenShift Pipeline Plugin, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 88%

0.03888

Низкий

8.8 High

CVSS3

CVE ID

CVE-2020-2167

Дефекты

CWE-20

CWE-502