[TLP:CLEAR] Jenkins Plain Credentials a Structs opravuje 2 zraniteľnosti
Jenkins upozorňuje na opravu 2 zraniteľností v Jenkins rozšíreniach Structs a Plain Credentials [1]. Oprava pre rozšírenie Structs sa nachádza vo verzii 338.v848422169819 a pre Plain Credentials vo verzii 183.va_de8f1dd5a_2b_ [1].
Autentizovanému vzdialenému útočníkovi s právami na prístup k súborovému systému kontroleru alebo s rozšírenými právami na čítanie je v rozšírení Plain Credentials za určitých okolností umožnené neoprávnene pristupovať k Base64 zakódovaným heslám [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2024-39460 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 26. 6. 2024.
Neautentizovanému vzdialenému útočníkovi je v rozšírení Structs umožnené neoprávnene pristupovať k citlivým údajom nachádzajúcim sa v logových správach [1].
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
Viac informácií:
- CVE-2024-39458 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 26. 6. 2024.
Za CESNET-CERTS Martin Krajči dňa 28. 6. 2024.
