PT-2024-22301 · Jenkins · Jenkins Appspider Plugin+1
Kevin Guerroudj
·
Publicado
2024-03-06
·
Atualizado
2025-01-19
·
CVE-2024-28155
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins AppSpider, versões 1.0.16 e anteriores
Descrição
A vulnerabilidade permite que invasores com permissão de nível geral/leitura obtenham informações sobre nomes de configurações de varredura disponíveis, nomes de grupos de motores e nomes de clientes, devido à falta de verificações de permissão em vários pontos de extremidade HTTP.
Recomendações
Para as versões 1.0.16 e anteriores do plugin Jenkins AppSpider, como solução temporária, considere restringir o acesso aos pontos de extremidade HTTP afetados até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Appspider Plugin