GHSA-w4jv-6rg4-pr4m

Опубликовано: 13 янв. 2022

Источник: github

Github: Прошло ревью

CVSS3: 7.1

Описание

Cross-Site Request Forgery in Jenkins Bitbucket Branch Source Plugin

Jenkins Bitbucket Branch Source Plugin prior to 746.v350d2781c184, 725.vd9f8be0fa250, 2.9.11.2, and 2.9.7.2 does not require POST requests for an HTTP endpoint, resulting in a cross-site request forgery (CSRF) vulnerability.

This allows attackers with Overall/Read access to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.

Bitbucket Branch Source Plugin 746.v350d2781c184, 725.vd9f8be0fa250, 2.9.11.2, and 2.9.7.2 requires POST requests for the affected HTTP endpoint.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:cloudbees-bitbucket-branch-source

maven

Затронутые версииВерсия исправления

>= 726.v7e6f53de133c, < 746.v350d2781c184

746.v350d2781c184

Наименование

org.jenkins-ci.plugins:cloudbees-bitbucket-branch-source

maven

Затронутые версииВерсия исправления

>= 720.vbe985dd73d66, < 725.vd9f8be0fa250

725.vd9f8be0fa250

Наименование

org.jenkins-ci.plugins:cloudbees-bitbucket-branch-source

maven

Затронутые версииВерсия исправления

>= 2.9.8, < 2.9.11.2

2.9.11.2

Наименование

org.jenkins-ci.plugins:cloudbees-bitbucket-branch-source

maven

Затронутые версииВерсия исправления

< 2.9.7.2

2.9.7.2

EPSS

Процентиль: 63%

0.00451

Низкий

7.1 High

CVSS3

CVE ID

CVE-2022-20619

Дефекты

CWE-352

Связанные уязвимости

CVE-2022-20619

CVSS3: 7.1

redhat

около 4 лет назад

A cross-site request forgery (CSRF) vulnerability in Jenkins Bitbucket Branch Source Plugin 737.vdf9dc06105be and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.

CVE-2022-20619

CVSS3: 7.1

nvd

около 4 лет назад

EPSS

Процентиль: 63%

0.00451

Низкий

7.1 High

CVSS3

CVE ID

CVE-2022-20619

Дефекты

CWE-352