GHSA-38w8-h222-wrpp

Опубликовано: 16 фев. 2022

Источник: github

Github: Прошло ревью

CVSS3: 7.1

Описание

Improper Restriction of XML External Entity Reference in Jenkins Chef Sinatra

Chef Sinatra Plugin 1.20 and earlier does not perform a permission check in a method implementing form validation.

As the plugin does not configure its XML parser to prevent XML external entity (XXE) attacks, attackers can have Jenkins parse a crafted XML response that uses external entities for extraction of secrets from the Jenkins controller or server-side request forgery.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:sinatra-chef-builder

maven

Затронутые версииВерсия исправления

<= 1.20

Отсутствует

EPSS

Процентиль: 41%

0.00192

Низкий

7.1 High

CVSS3

CVE ID

CVE-2022-25209

Дефекты

CWE-611

Связанные уязвимости

CVE-2022-25209

CVSS3: 8.8

nvd

почти 4 года назад

Jenkins Chef Sinatra Plugin 1.20 and earlier does not configure its XML parser to prevent XML external entity (XXE) attacks.

EPSS

Процентиль: 41%

0.00192

Низкий

7.1 High

CVSS3

CVE ID

CVE-2022-25209

Дефекты

CWE-611