Jenkins sérülékenysége
Angol cím: Jenkins vulnerability
Publikálás dátuma: 2024.01.24.
Utolsó módosítás dátuma: 2024.01.25.
Elemzés leírás
Eredeti nyelven: Jenkins 2.217 through 2.441 (both inclusive), LTS 2.222.1 through 2.426.2 (both inclusive) does not perform origin validation of requests made through the CLI WebSocket endpoint, resulting in a cross-site WebSocket hijacking (CSWSH) vulnerability, allowing attackers to execute CLI commands on the Jenkins controller.
Elemzés leírás forrása: CVE-2024-23898 Elemzés leírás utolsó módosítása: 2024.01.25.Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 8.8 (Magas)
Vector: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 2.8
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Jenkins 2.217-től 2.441-ig,
LTS 2.222.1-től 2.426.2-ig