CVE-2024-23901

Опубликовано: 24 янв. 2024

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

Jenkins GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3 and earlier unconditionally discovers projects that are shared with the configured owner group, allowing attackers to configure and share a project, resulting in a crafted Pipeline being built by Jenkins during the next scan of the group.

Ссылки

http://www.openwall.com/lists/oss-security/2024/01/24/6
Mailing List
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3040
Vendor Advisory
http://www.openwall.com/lists/oss-security/2024/01/24/6
Mailing List
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3040
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:jenkins:github_branch_source:*:*:*:*:*:jenkins:*:*

Версия до 684.vea_fa_7c1e2fe3 (включая)

EPSS

Процентиль: 26%

0.00088

Низкий

6.5 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

GHSA-fw9h-cxx9-gfq3

CVSS3: 5.4

github

больше 1 года назад

Shared projects are unconditionally discovered by Jenkins GitLab Branch Source Plugin

BDU:2024-00897

CVSS3: 6.5

fstec

больше 1 года назад

Уязвимость плагина Jenkins GitLab Branch Source Plugin, связанная с недостатками контроля доступа, позволяющая нарушителю настраивать и совместно использовать произвольные проекты

ROS-20240411-08

CVSS3: 8.8

redos

около 1 года назад

Множественные уязвимости jenkins