GHSA-vrrc-3wwh-frgx

Опубликовано: 24 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Missing Authorization in Jenkins Mercurial Plugin

Mercurial Plugin prior to 2.12, 2.10.1, 2.9.1, and 2.8.1 does not perform a permission check in an HTTP endpoint.

This allows attackers with Overall/Read permission to obtain a list of names of configured Mercurial installations.

Mercurial Plugin 2.12, 2.10.1, 2.9.1, and 2.8.1 performs permission checks when listing configured Mercurial installations.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:mercurial

maven

Затронутые версииВерсия исправления

= 2.11

2.12

Наименование

org.jenkins-ci.plugins:mercurial

maven

Затронутые версииВерсия исправления

= 2.10

2.10.1

Наименование

org.jenkins-ci.plugins:mercurial

maven

Затронутые версииВерсия исправления

= 2.9

2.9.1

Наименование

org.jenkins-ci.plugins:mercurial

maven

Затронутые версииВерсия исправления

< 2.8.1

2.8.1

EPSS

Процентиль: 20%

0.00064

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2020-2306

Дефекты

CWE-862

Связанные уязвимости

CVE-2020-2306

CVSS3: 4.3

redhat

больше 5 лет назад

A missing permission check in Jenkins Mercurial Plugin 2.11 and earlier allows attackers with Overall/Read permission to obtain a list of names of configured Mercurial installations.

CVE-2020-2306

CVSS3: 4.3

nvd

больше 5 лет назад

A missing permission check in Jenkins Mercurial Plugin 2.11 and earlier allows attackers with Overall/Read permission to obtain a list of names of configured Mercurial installations.

EPSS

Процентиль: 20%

0.00064

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2020-2306

Дефекты

CWE-862