GHSA-j896-j72w-cr32

Опубликовано: 28 июл. 2022

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins Job Configuration History Plugin does not require POST requests for several HTTP endpoints

Jenkins Job Configuration History Plugin 1155.v28a_46a_cc06a_5 and earlier does not require POST requests for several HTTP endpoints, resulting in cross-site request forgery (CSRF) vulnerabilities.

These vulnerabilities allow attackers to delete entries from job, agent, and system configuration history, or restore older versions of job, agent, and system configurations.

Job Configuration History Plugin 1156.v536a_97b_8d649 requires POST requests for the affected HTTP endpoints.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:jobConfigHistory

maven

Затронутые версииВерсия исправления

<= 1155.v28a

1156.v536a_97b_8d649

EPSS

Процентиль: 22%

0.00071

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2022-36887

Дефекты

CWE-352

Связанные уязвимости

CVE-2022-36887

CVSS3: 4.3

nvd

больше 3 лет назад

A cross-site request forgery (CSRF) vulnerability in Jenkins Job Configuration History Plugin 1155.v28a_46a_cc06a_5 and earlier allows attackers to delete entries from job, agent, and system configuration history, or restore older versions of job, agent, and system configurations.

BDU:2022-04862

CVSS3: 4.3

fstec

больше 3 лет назад

Уязвимость плагина Jenkins Job Configuration History Plugin, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку

EPSS

Процентиль: 22%

0.00071

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2022-36887

Дефекты

CWE-352