Описание
Множественные уязвимости jenkins
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета jenkins или Установить обновление для пакета(ов) jenkins
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
11.04.2024
CVE-2024-23899
Идентификатор БДУ ФСТЭК России:
BDU:2024-00899Описание уязвимости:
Уязвимость библиотеки args4j плагина Jenkins Git server Plugin связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать первые две строки произвольных файлов
6.5 Medium
CVSS3
6.8 Medium
CVSS2
CVE-2024-23900
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость плагина Jenkins Git Matrix Project, связана с отсутствием очистки определяемой пользователем имен осей проектов с несколькими конфигурациями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказывать воздействие на целостность и доступность системы
4.3 Medium
CVSS3
4 Medium
CVSS2
CVE-2024-23901
Идентификатор БДУ ФСТЭК России:
BDU:2024-00897Описание уязвимости:
Уязвимость плагина Jenkins GitLab Branch Source Plugin связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, настраивать и совместно использовать произвольные проекты
6.5 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2024-23902
Идентификатор БДУ ФСТЭК России:
BDU:2024-00894Описание уязвимости:
Уязвимость плагина Jenkins GitLab Branch Source Plugin связана с подделкой межсайтовых запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить CSRF-атаку
4.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2024-23903
Идентификатор БДУ ФСТЭК России:
BDU:2024-00900Описание уязвимости:
Уязвимость плагина Jenkins GitLab Branch Source Plugin связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к конфиденциальной информации
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2024-23904
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость плагина Jenkins Git Log Command связана с работой функции синтаксического анализатора команд, которая заменяет символ «@», за которым следует путь к файлу в аргументе с содержимым файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать содержимое из произвольных файлов
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2024-23905
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость плагина Jenkins Red Hat Dependency Analytics связана с отсутствием защиты Content-Security-Policy для пользовательского контента в рабочих областях, архивных артефактов и т. д., которые Jenkins предлагает для загрузки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять атаки с использованием межсайтовых сценариев (XSS) с возможностью управления файлами в рабочих областях
5.4 Medium
CVSS3
5.5 Medium
CVSS2
CVE-2024-23898
Идентификатор БДУ ФСТЭК России:
BDU:2024-00751Описание уязвимости:
Уязвимость встроенного интерфейса командной строки (CLI) сервера автоматизации Jenkins связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать CSWSH-атаку
8.8 High
CVSS3
10 Critical
CVSS2
CVE-2024-23897
Идентификатор БДУ ФСТЭК России:
BDU:2024-00750Описание уязвимости:
Уязвимость библиотеки args4j встроенного интерфейса командной строки (CLI) сервера автоматизации Jenkins связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный ко
8.8 High
CVSS3
8.3 High
CVSS2
CVE-2023-43498
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость сервера автоматизации Jenkins связана с созданием временных файлов с небезопасными разрешениями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление файлов
8.1 High
CVSS3
8.5 High
CVSS2
CVE-2023-43497
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость сервера автоматизации Jenkins связана с загрузкой файлов с помощью веб-платформы Stapler, создающей временные файлы во временном каталоге системы с разрешениями по умолчанию для вновь создаваемых файлов. Эксплуатация уязвимости может позволить нарушителю получить, действующему удаленно, доступ на чтение, изменение или удаление файлов
8.1 High
CVSS3
8.5 High
CVSS2
CVE-2023-43496
Идентификатор БДУ ФСТЭК России:
BDU:2023-06018Описание уязвимости:
Уязвимость сервера автоматизации Jenkins связана с недостатками разграничения доступа при установке плагинов. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение, изменение или удаление файлов и выполнить произвольный код
7 High
CVSS3
6 Medium
CVSS2
CVE-2023-43495
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость сервера автоматизации Jenkins связана с отсутствием экранизации значения параметра конструктора «caption» ExpandableDetailsNote. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, осуществлять атаки с использованием межсайтовых сценариев (XSS) с возможностью управления файлами в рабочих областях
5.4 Medium
CVSS3
5.5 Medium
CVSS2