GHSA-pw4g-jcp5-63m9

Опубликовано: 28 июл. 2022

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins rpmsign-plugin does not perform a permission check in a method implementing form validation

Jenkins rpmsign-plugin Plugin 0.5.0 and earlier does not perform a permission check in a method implementing form validation.

This allows attackers with Item/Read permission but without Item/Workspace or Item/Configure permission to check whether attacker-specified file patterns match workspace contents. A sequence of requests can be used to effectively list workspace contents.

rpmsign-plugin Plugin 0.5.1 requires Item/Workspace permission to validate patterns with workspace contents.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:rpmsign-plugin

maven

Затронутые версииВерсия исправления

<= 0.5.0

0.5.1

EPSS

Процентиль: 26%

0.00093

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2022-36893

Дефекты

CWE-862

Связанные уязвимости

CVE-2022-36893

CVSS3: 4.3

nvd

больше 3 лет назад

Jenkins rpmsign-plugin Plugin 0.5.0 and earlier does not perform a permission check in a method implementing form validation, allowing attackers with Item/Read permission but without Item/Workspace or Item/Configure permission to check whether attacker-specified file patterns match workspace contents.

BDU:2022-04874

CVSS3: 4.3

fstec

больше 3 лет назад

Уязвимость плагина Jenkins rpmsign-plugin, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 26%

0.00093

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2022-36893

Дефекты

CWE-862