CVE-2018-1000409

Опубликовано: 09 янв. 2019

Источник: nvd

CVSS3: 5.4

CVSS2: 5.8

EPSS Низкий

Описание

A session fixation vulnerability exists in Jenkins 2.145 and earlier, LTS 2.138.1 and earlier in core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java that prevented Jenkins from invalidating the existing session and creating a new one when a user signed up for a new user account.

Ссылки

http://www.securityfocus.com/bid/106532
Third Party Advisory
VDB Entry
https://jenkins.io/security/advisory/2018-10-10/#SECURITY-1158
Vendor Advisory
http://www.securityfocus.com/bid/106532
Third Party Advisory
VDB Entry
https://jenkins.io/security/advisory/2018-10-10/#SECURITY-1158
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:jenkins:jenkins:*:*:*:*:lts:*:*:*

Версия до 2.138.1 (включая)

cpe:2.3:a:jenkins:jenkins:*:*:*:*:-:*:*:*

Версия до 2.145 (включая)

EPSS

Процентиль: 22%

0.00073

Низкий

5.4 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-384

Связанные уязвимости

CVE-2018-1000409

CVSS3: 5.4

redhat

больше 7 лет назад

CVE-2018-1000409

CVSS3: 5.4

debian

около 7 лет назад

A session fixation vulnerability exists in Jenkins 2.145 and earlier, ...

GHSA-rr6r-p7rw-369c

CVSS3: 5.4

github

больше 3 лет назад

Session Fixation in Jenkins

EPSS

Процентиль: 22%

0.00073

Низкий

5.4 Medium

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-384