GHSA-w8gx-4r6w-3rx9

Опубликовано: 28 июл. 2022

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins rhnpush-plugin does not perform a permission check in a method implementing form validation

Jenkins rhnpush-plugin Plugin 0.5.1 and earlier does not perform a permission check in a method implementing form validation.

This allows attackers with Item/Read permission but without Item/Workspace or Item/Configure permission to check whether attacker-specified file patterns match workspace contents. A sequence of requests can be used to effectively list workspace contents.

rhnpush-plugin Plugin 0.5.2 requires Item/Workspace permission to validate patterns with workspace contents.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:rhnpush-plugin

maven

Затронутые версииВерсия исправления

<= 0.5.1

0.5.2

EPSS

Процентиль: 21%

0.00068

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2022-36892

Дефекты

CWE-862

Связанные уязвимости

CVE-2022-36892

CVSS3: 4.3

nvd

больше 3 лет назад

Jenkins rhnpush-plugin Plugin 0.5.1 and earlier does not perform a permission check in a method implementing form validation, allowing attackers with Item/Read permission but without Item/Workspace or Item/Configure permission to check whether attacker-specified file patterns match workspace contents.

BDU:2022-04868

CVSS3: 4.3

fstec

больше 3 лет назад

Уязвимость плагина Jenkins rhnpush-plugin, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 21%

0.00068

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2022-36892

Дефекты

CWE-862