GHSA-f67f-2j6r-m4c9

Опубликовано: 24 янв. 2024

Источник: github

Github: Прошло ревью

CVSS3: 3.7

Описание

Non-constant time webhook token comparison in Jenkins GitLab Branch Source Plugin

Jenkins GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3 and earlier does not use a constant-time comparison function when checking whether the provided and expected webhook token are equal.

This could potentially allow attackers to use statistical methods to obtain a valid webhook token.

GitLab Branch Source Plugin 688.v5fa_356ee8520 uses a constant-time comparison function when validating the webhook token.

Ссылки

Пакеты

Наименование

io.jenkins.plugins:gitlab-branch-source

maven

Затронутые версииВерсия исправления

< 688.v5fa

688.v5fa

EPSS

Процентиль: 25%

0.0008

Низкий

3.7 Low

CVSS3

CVE ID

CVE-2024-23903

Дефекты

CWE-697

Связанные уязвимости

CVE-2024-23903

CVSS3: 5.3

nvd

больше 1 года назад

Jenkins GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3 and earlier uses a non-constant time comparison function when checking whether the provided and expected webhook token are equal, potentially allowing attackers to use statistical methods to obtain a valid webhook token.

BDU:2024-00900

CVSS3: 5.3

fstec

больше 1 года назад

Уязвимость плагина Jenkins GitLab Branch Source Plugin, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к конфиденциальной информации

ROS-20240411-08

CVSS3: 8.8

redos

около 1 года назад

Множественные уязвимости jenkins

EPSS

Процентиль: 25%

0.0008

Низкий

3.7 Low

CVSS3

CVE ID

CVE-2024-23903

Дефекты

CWE-697