GHSA-rv9g-67f7-grq7

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 6.8

Описание

Missing SSH host key validation in Mac Plugin

Mac Plugin 1.1.0 and earlier does not use SSH host key validation when connecting to Mac Cloud host launched by the plugin. This lack of validation could be abused using a man-in-the-middle attack to intercept these connections to build agents.

Mac Plugin 1.2.0 validates SSH host keys when connecting to agents.

Ссылки

Пакеты

Наименование

fr.edf.jenkins.plugins:mac

maven

Затронутые версииВерсия исправления

< 1.2.0

1.2.0

EPSS

Процентиль: 10%

0.00034

Низкий

6.8 Medium

CVSS3

CVE ID

CVE-2020-2146

Дефекты

CWE-347

Связанные уязвимости

CVE-2020-2146

CVSS3: 7.4

nvd

почти 6 лет назад

Jenkins Mac Plugin 1.1.0 and earlier does not validate SSH host keys when connecting agents created by the plugin, enabling man-in-the-middle attacks.

EPSS

Процентиль: 10%

0.00034

Низкий

6.8 Medium

CVSS3

CVE ID

CVE-2020-2146

Дефекты

CWE-347