CVE-2022-36883

Опубликовано: 27 июл. 2022

Источник: nvd

CVSS3: 7.5

EPSS Высокий

Описание

A missing permission check in Jenkins Git Plugin 4.11.3 and earlier allows unauthenticated attackers to trigger builds of jobs configured to use an attacker-specified Git repository and to cause them to check out an attacker-specified commit.

Ссылки

http://www.openwall.com/lists/oss-security/2022/07/27/1
Mailing List
Third Party Advisory
https://www.jenkins.io/security/advisory/2022-07-27/#SECURITY-284
Vendor Advisory
http://www.openwall.com/lists/oss-security/2022/07/27/1
Mailing List
Third Party Advisory
https://www.jenkins.io/security/advisory/2022-07-27/#SECURITY-284
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:jenkins:git:*:*:*:*:*:jenkins:*:*

Версия до 4.11.3 (включая)

EPSS

Процентиль: 99%

0.79615

Высокий

7.5 High

CVSS3

Дефекты

CWE-862

Связанные уязвимости

CVE-2022-36883

CVSS3: 7.5

redhat

больше 3 лет назад

GHSA-v878-67xw-grw2

CVSS3: 6.5

github

больше 3 лет назад

Lack of authentication mechanism in Jenkins Git Plugin webhook

BDU:2022-05608

CVSS3: 5.5

fstec

больше 3 лет назад

Уязвимость компонента Build Handler плагина Jenkins Git Plugin, связанная с ошибками авторизации, позволяющая нарушителю обойти введенные ограничения безопасности и повысить свои привилегии

EPSS

Процентиль: 99%

0.79615

Высокий

7.5 High

CVSS3

Дефекты

CWE-862