CVE-2024-23898

Опубликовано: 09 янв. 2024

Источник: redhat

CVSS3: 8.8

EPSS Средний

Описание

Jenkins 2.217 through 2.441 (both inclusive), LTS 2.222.1 through 2.426.2 (both inclusive) does not perform origin validation of requests made through the CLI WebSocket endpoint, resulting in a cross-site WebSocket hijacking (CSWSH) vulnerability, allowing attackers to execute CLI commands on the Jenkins controller.

A flaw was found in Jenkins where websocket access to the CLI does not perform origin validation of requests when they are made through the websocket endpoint.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat OpenShift Container Platform 3.11	jenkins	Will not fix
OCP-Tools-4.12-RHEL-8	jenkins	Fixed	RHSA-2024:0778	12.02.2024
OCP-Tools-4.13-RHEL-8	jenkins	Fixed	RHSA-2024:0776	12.02.2024
OpenShift Developer Tools and Services for OCP 4.11	jenkins	Fixed	RHSA-2024:0775	12.02.2024

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-79

https://bugzilla.redhat.com/show_bug.cgi?id=2260182jenkins: cross-site WebSocket hijacking

EPSS

Процентиль: 97%

0.38965

Средний

8.8 High

CVSS3

Связанные уязвимости

CVE-2024-23898

CVSS3: 8.8

nvd

больше 1 года назад

CVE-2024-23898

CVSS3: 8.8

debian

больше 1 года назад

Jenkins 2.217 through 2.441 (both inclusive), LTS 2.222.1 through 2.42 ...

GHSA-53ph-2r2x-vqw8

CVSS3: 8.8

github

больше 1 года назад

Cross-site WebSocket hijacking vulnerability in the Jenkins CLI

BDU:2024-00751

CVSS3: 8.8

fstec

больше 1 года назад

Уязвимость встроенного интерфейса командной строки (CLI) сервера автоматизации Jenkins, позволяющая нарушителю реализовать CSWSH-атаку

ROS-20240411-08

CVSS3: 8.8

redos

около 1 года назад

Множественные уязвимости jenkins

EPSS

Процентиль: 97%

0.38965

Средний

8.8 High

CVSS3