GHSA-8859-v9jp-cphf

Опубликовано: 25 окт. 2023

Источник: github

Github: Прошло ревью

CVSS3: 3.7

Описание

Jenkins Multibranch Scan Webhook Trigger Plugin uses non-constant time webhook token comparison

Jenkins Multibranch Scan Webhook Trigger Plugin 1.0.9 and earlier does not use a constant-time comparison when checking whether the provided and expected webhook token are equal.

This could potentially allow attackers to use statistical methods to obtain a valid webhook token.

As of publication of this advisory, there is no fix.

Ссылки

Пакеты

Наименование

igalg.jenkins.plugins:multibranch-scan-webhook-trigger

maven

Затронутые версииВерсия исправления

<= 1.0.9

Отсутствует

EPSS

Процентиль: 24%

0.0008

Низкий

3.7 Low

CVSS3

CVE ID

CVE-2023-46656

Дефекты

CWE-208

CWE-697

Связанные уязвимости

CVE-2023-46656

CVSS3: 5.3

nvd

больше 2 лет назад

Jenkins Multibranch Scan Webhook Trigger Plugin 1.0.9 and earlier uses a non-constant time comparison function when checking whether the provided and expected webhook token are equal, potentially allowing attackers to use statistical methods to obtain a valid webhook token.

BDU:2023-07308

CVSS3: 3.7

fstec

больше 2 лет назад

Уязвимость плагина Jenkins Multibranch Scan Webhook Trigger Plugin, связанная с раскрытием информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 24%

0.0008

Низкий

3.7 Low

CVSS3

CVE ID

CVE-2023-46656

Дефекты

CWE-208

CWE-697