GHSA-4c2w-wcw4-8jv9

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins Rundeck Plugin CSRF vulnerability

Jenkins Rundeck Plugin does not perform permission checks on a method implementing form validation. This allows users with Overall/Read access to Jenkins to initiate a connection test to an attacker-specified server with attacker-specified username and password.

Additionally, the form validation method does not require POST requests, resulting in a CSRF vulnerability.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:rundeck

maven

Затронутые версииВерсия исправления

<= 3.6.5

3.6.6

EPSS

Процентиль: 48%

0.00253

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2019-10454

Дефекты

CWE-352

Связанные уязвимости

CVE-2019-10454

CVSS3: 4.3

nvd

больше 6 лет назад

A cross-site request forgery vulnerability in Jenkins Rundeck Plugin allows attackers to connect to an attacker-specified URL using attacker-specified credentials.

EPSS

Процентиль: 48%

0.00253

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2019-10454

Дефекты

CWE-352