GHSA-g7w4-r4mg-gvhx

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 7.6

Описание

XXE vulnerability in Jenkins RapidDeploy Plugin

RapidDeploy Plugin 4.2 and earlier does not configure its XML parser to prevent XML external entity (XXE) attacks.

This allows a user able to control the input files for the 'RapidDeploy deployment package build' build or post-build step to have Jenkins parse a crafted file that uses external entities for extraction of secrets from the Jenkins controller, server-side request forgery, or denial-of-service attacks.

RapidDeploy Plugin 4.2.1 disables external entity resolution for its XML parser.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:rapiddeploy-jenkins

maven

Затронутые версииВерсия исправления

< 4.2.1

4.2.1

EPSS

Процентиль: 33%

0.00132

Низкий

7.6 High

CVSS3

CVE ID

CVE-2020-2171

Дефекты

CWE-611

Связанные уязвимости

CVE-2020-2171

CVSS3: 8.8

nvd

почти 6 лет назад

Jenkins RapidDeploy Plugin 4.2 and earlier does not configure its XML parser to prevent XML external entity (XXE) attacks.

BDU:2020-05675

CVSS3: 8.8

fstec

почти 6 лет назад

Уязвимость подключаемого модуля сервера автоматизации Jenkins RapidDeploy Plugin, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю осуществить XXE-атаку

EPSS

Процентиль: 33%

0.00132

Низкий

7.6 High

CVSS3

CVE ID

CVE-2020-2171

Дефекты

CWE-611