Jenkins Plain Credentials a Structs opravuje 2 zraniteľnosti

[TLP:CLEAR] Jenkins Plain Credentials a Structs opravuje 2 zraniteľnosti

Jenkins upozorňuje na opravu 2 zraniteľností v Jenkins rozšíreniach Structs a Plain Credentials [1]. Oprava pre rozšírenie Structs sa nachádza vo verzii 338.v848422169819 a pre Plain Credentials vo verzii 183.va_de8f1dd5a_2b_ [1].

Jenkins - information disclosure (CVE-2024-39460) CVSS 4.3 (Medium)

Autentizovanému vzdialenému útočníkovi s právami na prístup k súborovému systému kontroleru alebo s rozšírenými právami na čítanie je v rozšírení Plain Credentials za určitých okolností umožnené neoprávnene pristupovať k Base64 zakódovaným heslám [1].

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Viac informácií:

CVE-2024-39460 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 26. 6. 2024.

Jenkins - information disclosure (CVE-2024-39458) CVSS 3.1 (Low)

Neautentizovanému vzdialenému útočníkovi je v rozšírení Structs umožnené neoprávnene pristupovať k citlivým údajom nachádzajúcim sa v logových správach [1].

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Viac informácií:

CVE-2024-39458 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 26. 6. 2024.

Odkazy

[1] https://www.jenkins.io/security/advisory/2024-06-26/

Publikoval Martin Krajči dňa 28. 6. 2024.