GHSA-2xpq-5952-38w3

Опубликовано: 25 окт. 2023

Источник: github

Github: Прошло ревью

CVSS3: 3.7

Описание

Jenkins MSTeams Webhook Trigger Plugin uses non-constant time webhook token comparison

Jenkins MSTeams Webhook Trigger Plugin 0.1.1 and earlier does not use a constant-time comparison when checking whether the provided and expected webhook token are equal.

This could potentially allow attackers to use statistical methods to obtain a valid webhook token.

As of publication of this advisory, there is no fix.

Ссылки

Пакеты

Наименование

io.jenkins.plugins:teams-webhook-trigger

maven

Затронутые версииВерсия исправления

<= 0.1.1

Отсутствует

EPSS

Процентиль: 24%

0.0008

Низкий

3.7 Low

CVSS3

CVE ID

CVE-2023-46658

Дефекты

CWE-208

CWE-697

Связанные уязвимости

CVE-2023-46658

CVSS3: 5.3

nvd

больше 2 лет назад

Jenkins MSTeams Webhook Trigger Plugin 0.1.1 and earlier uses a non-constant time comparison function when checking whether the provided and expected webhook token are equal, potentially allowing attackers to use statistical methods to obtain a valid webhook token.

BDU:2023-07307

CVSS3: 3.7

fstec

больше 2 лет назад

Уязвимость плагина Jenkins MSTeams Webhook Trigger Plugin, связанная с раскрытием информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 24%

0.0008

Низкий

3.7 Low

CVSS3

CVE ID

CVE-2023-46658

Дефекты

CWE-208

CWE-697