GHSA-4xmf-344q-m4cc

Опубликовано: 22 авг. 2023

Источник: github

Github: Прошло ревью

CVSS3: 4.2

Описание

Jenkins Fortify Plugin missing permission check

Jenkins Fortify Plugin 22.1.38 and earlier does not perform permission checks in several HTTP endpoints.

This allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.

Additionally, these HTTP endpoints do not require POST requests, resulting in a cross-site request forgery (CSRF) vulnerability.

Fortify Plugin 22.2.39 requires POST requests and the appropriate permissions for the affected HTTP endpoints.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:fortify

maven

Затронутые версииВерсия исправления

<= 22.1.38

22.2.39

EPSS

Процентиль: 39%

0.00176

Низкий

4.2 Medium

CVSS3

CVE ID

CVE-2023-4302

Дефекты

CWE-862

Связанные уязвимости

CVE-2023-4302

CVSS3: 4.2

nvd

больше 2 лет назад

A missing permission check in Jenkins Fortify Plugin 22.1.38 and earlier allows attackers with Overall/Read permission to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.

BDU:2023-06709

CVSS3: 4.3

fstec

больше 2 лет назад

Уязвимость плагина Jenkins Fortify Plugin, связанная с ошибками авторизации, позволяющая нарушителю получить доступ к сессии другого пользователя

EPSS

Процентиль: 39%

0.00176

Низкий

4.2 Medium

CVSS3

CVE ID

CVE-2023-4302

Дефекты

CWE-862