GHSA-g2r3-4g8q-h5rj

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Missing authorization in Jenkins Kubernetes Plugin

Jenkins Kubernetes Plugin prior to 1.27.4, 1.26.5, 1.25.4.1, and 1.21.6 does not perform a permission check in an HTTP endpoint.

This allows attackers with Overall/Read permission to enumerate credentials IDs of credentials stored in Jenkins. Those can be used as part of an attack to capture the credentials using another vulnerability.

An enumeration of credentials IDs in Kubernetes Plugin 1.27.4, 1.26.5, 1.25.4.1, and 1.21.6 requires the appropriate permissions.

Ссылки

Пакеты

Наименование

org.csanchez.jenkins.plugins:kubernetes

maven

Затронутые версииВерсия исправления

>= 1.27.0, < 1.27.4

1.27.4

Наименование

org.csanchez.jenkins.plugins:kubernetes

maven

Затронутые версииВерсия исправления

>= 1.26.0, < 1.26.5

1.26.5

Наименование

org.csanchez.jenkins.plugins:kubernetes

maven

Затронутые версииВерсия исправления

>= 1.22.0, < 1.25.4.1

1.25.4.1

Наименование

org.csanchez.jenkins.plugins:kubernetes

maven

Затронутые версииВерсия исправления

< 1.21.6

1.21.6

EPSS

Процентиль: 38%

0.00161

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2020-2309

Дефекты

CWE-862

Связанные уязвимости

CVE-2020-2309

CVSS3: 4.3

redhat

больше 4 лет назад

A missing/An incorrect permission check in Jenkins Kubernetes Plugin 1.27.3 and earlier allows attackers with Overall/Read permission to enumerate credentials IDs of credentials stored in Jenkins.

CVE-2020-2309

CVSS3: 4.3

nvd

больше 4 лет назад

A missing/An incorrect permission check in Jenkins Kubernetes Plugin 1.27.3 and earlier allows attackers with Overall/Read permission to enumerate credentials IDs of credentials stored in Jenkins.

EPSS

Процентиль: 38%

0.00161

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2020-2309

Дефекты

CWE-862