Git
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.05454
Распределение по критичности
Критический
0
Высокий
3
Средний
7
Низкий
1
Затронутые диапазоны версий
< 4.11.2≤ 3.7.0≤ 3.9.0≤ 3.9.1≤ 4.11.3≤ 4.11.4≤ 4.2.0≤ 4.8.2
Также сопоставлено как (исходные строки): git
Топ уязвимостей
CVE-2022-36882Уязвимость подделки межсайтовых запросов (CSRF) в Jenkins Git Plugin 4.11.3 и более ранних версиях позволяет злоумышленникам запускать сборки заданий, настроенных на использование указанного злоумышленником Git-репозитория, и заставлять их извлекать указанный злоумышленником коммит.
CVE-2022-36883Отсутствующая проверка разрешений в Jenkins Git Plugin 4.11.3 и более ранних версиях позволяет не прошедшим проверку подлинности злоумышленникам запускать сборки заданий, настроенных на использование указанного злоумышленником Git-репозитория, и заставлять их извлекать указанный злоумышленником коммит.
CVE-2022-30947Jenkins Git Plugin 4.11.1 и более ранние версии позволяют злоумышленникам, имеющим возможность настраивать конвейеры, извлекать некоторые репозитории SCM, хранящиеся в файловой системе контроллера Jenkins, используя локальные пути в качестве URL-адресов SCM, получая ограниченную информацию о содержимом SCM других проектов.
CVE-2018-1000182В Jenkins Git Plugin 3.9.0 и старше в AssemblaWeb.java, GitBlitRepositoryBrowser.java, Gitiles.java, TFS2013GitRepositoryBrowser.java, ViewGitWeb.java существует уязвимость server-side request forgery, которая позволяет злоумышленникам с доступом Overall/Read заставлять Jenkins отправлять GET-запрос по указанному URL-адресу.
CVE-2021-21684Jenkins Git Plugin версии 4.8.2 и более ранних не экранирует параметры контрольной суммы Git SHA-1, предоставляемые для уведомлений о коммитах, при отображении их в причине сборки, что приводит к хранимой уязвимости межсайтового скриптинга (XSS).
CVE-2020-2136Jenkins Git Plugin 4.2.0 и более ранние версии не экранирует сообщение об ошибке для URL-адреса репозитория для проверки формы поля Microsoft TFS, что приводит к сохраненной уязвимости межсайтового скриптинга.
CVE-2022-36884Конечная точка веб-перехватчика в Jenkins Git Plugin 4.11.3 и более ранних версиях предоставляет не прошедшим проверку подлинности злоумышленникам информацию о существовании заданий, настроенных на использование указанного злоумышленником Git-репозитория.
CVE-2018-1000110В Jenkins Git Plugin версии 3.7.0 и более ранних версиях в GitStatus.java существует уязвимость, связанная с неправильной авторизацией, которая позволяет злоумышленнику с сетевым доступом получать список узлов и пользователей.
CVE-2019-1003010В Jenkins Git Plugin 3.9.1 и более ранних версиях в src/main/java/hudson/plugins/git/GitTagAction.java существует уязвимость межсайтовой подделки запроса, которая позволяет злоумышленникам создавать Git-тег в рабочей области и прикреплять соответствующие метаданные к записи сборки.
CVE-2022-38663Jenkins Git Plugin 4.11.4 и более ранние версии неправильно маскируют (т.е. заменяют звездочками) учетные данные в журнале сборки, предоставленном привязкой учетных данных Git Username and Password (`gitUsernamePassword`).
CVE-2017-1000092Git Plugin подключается к указанному пользователем репозиторию Git в рамках проверки формы. Злоумышленник, не имеющий прямого доступа к Jenkins, но способный угадать идентификатор учетных данных имени пользователя/пароля, может обманом заставить разработчика с разрешениями на настройку задания перейти по ссылке с вредоносным URL-адресом Jenkins, что приведет к тому, что клиент Jenkins Git отправит имя пользователя и пароль на сервер, контролируемый злоумышленником.