GHSA-x7w4-vfrh-fc3h

Опубликовано: 28 июл. 2022

Источник: github

Github: Прошло ревью

CVSS3: 4.3

Описание

Jenkins Coverity Plugin allows attackers with Overall/Read permission to enumerate credentials IDs

Jenkins Coverity Plugin 1.11.4 and earlier does not perform a permission check in an HTTP endpoint.

This allows attackers with Overall/Read permission to enumerate credentials IDs of credentials stored in Jenkins. Those can be used as part of an attack to capture the credentials using another vulnerability.

As of publication of this advisory, there is no fix.

Ссылки

Пакеты

Наименование

org.jenkins-ci.plugins:coverity

maven

Затронутые версииВерсия исправления

<= 1.11.4

Отсутствует

EPSS

Процентиль: 60%

0.00396

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2022-36919

Дефекты

CWE-862

Связанные уязвимости

CVE-2022-36919

CVSS3: 4.3

nvd

больше 3 лет назад

A missing permission check in Jenkins Coverity Plugin 1.11.4 and earlier allows attackers with Overall/Read permission to enumerate credentials IDs of credentials stored in Jenkins.

BDU:2022-04849

CVSS3: 4.3

fstec

больше 3 лет назад

Уязвимость плагина Jenkins Coverity Plugin, связанная с недостатками процедуры авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 60%

0.00396

Низкий

4.3 Medium

CVSS3

CVE ID

CVE-2022-36919

Дефекты

CWE-862