Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2021-21688

Опубликовано: 04 нояб. 2021
Источник: redhat
CVSS3: 7.5
EPSS Низкий

Описание

The agent-to-controller security check FilePath#reading(FileVisitor) in Jenkins 2.318 and earlier, LTS 2.303.2 and earlier does not reject any operations, allowing users to have unrestricted read access using certain operations (creating archives, FilePath#copyRecursiveTo).

An incorrect access restriction vulnerability was found in Jenkins. The FilePath#reading(FileVisitor) does not reject any operations giving users unrestricted read access with certain operations (creating archives, #copyRecursiveTo). This may allow an attacker to get access to restricted data.

Меры по смягчению последствий

Red Hat has investigated whether a possible mitigation exists for this issue, and has not been able to identify a practical example. Please update the affected package as soon as possible.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Fuse 7jenkinsNot affected
Red Hat OpenShift Container Platform 3.11jenkinsFixedRHSA-2021:482702.12.2021
Red Hat OpenShift Container Platform 4.6jenkinsFixedRHSA-2021:479902.12.2021
Red Hat OpenShift Container Platform 4.7jenkinsFixedRHSA-2021:480101.12.2021
Red Hat OpenShift Container Platform 4.8jenkinsFixedRHSA-2021:482930.11.2021
Red Hat OpenShift Container Platform 4.9jenkinsFixedRHSA-2021:483329.11.2021

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important
Дефект:
CWE-22
https://bugzilla.redhat.com/show_bug.cgi?id=2020327jenkins: FilePath#reading(FileVisitor) does not reject any operations allowing users to have unrestricted read access

EPSS

Процентиль: 48%
0.00247
Низкий

7.5 High

CVSS3

Связанные уязвимости

nvd логотип

CVE-2021-21688

CVSS3: 7.5
nvd
больше 4 лет назад

The agent-to-controller security check FilePath#reading(FileVisitor) in Jenkins 2.318 and earlier, LTS 2.303.2 and earlier does not reject any operations, allowing users to have unrestricted read access using certain operations (creating archives, FilePath#copyRecursiveTo).

debian логотип

CVE-2021-21688

CVSS3: 7.5
debian
больше 4 лет назад

The agent-to-controller security check FilePath#reading(FileVisitor) i ...

github логотип

GHSA-m9hr-259f-2v23

CVSS3: 9
github
больше 3 лет назад

Multiple vulnerabilities allow bypassing path filtering of agent-to-controller access control in Jenkins

fstec логотип

BDU:2021-06222

CVSS3: 7.5
fstec
больше 4 лет назад

Уязвимость компонента FilePath#reading(FileVisitor) сервера автоматизации Jenkins, позволяющая нарушителю иметь неограниченный доступ для чтения файлов с использованием определенных операций

EPSS

Процентиль: 48%
0.00247
Низкий

7.5 High

CVSS3