GHSA-36fg-whr2-g999

Опубликовано: 16 авг. 2023

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins NodeJS Plugin improper credential masking vulnerability

Jenkins NodeJS Plugin integrates with Config File Provider Plugin to specify custom NPM settings, including credentials for authentication, in a Npm config file.

NodeJS Plugin 1.6.0 and earlier does not properly mask (i.e., replace with asterisks) credentials specified in the Npm config file in Pipeline build logs.

NodeJS Plugin 1.6.1 masks credentials specified in the Npm config file in Pipeline build logs.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:nodejs

maven

Затронутые версииВерсия исправления

< 1.6.1

1.6.1

EPSS

Процентиль: 27%

0.00098

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2023-40340

Связанные уязвимости

CVE-2023-40340

CVSS3: 7.5

nvd

больше 2 лет назад

Jenkins NodeJS Plugin 1.6.0 and earlier does not properly mask (i.e., replace with asterisks) credentials specified in the Npm config file in Pipeline build logs.

BDU:2023-06413

CVSS3: 7.5

fstec

больше 2 лет назад

Уязвимость плагина Jenkins NodeJS, связанная с ошибками обработки учетных данных в журнале сборки Pipeline, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 27%

0.00098

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2023-40340