Конечные точки REST API в Jenkins 2.218 и более ранних версиях, LTS 2.204.1 и более ранних версиях были уязвимы для атак clickjacking.
Конечные точки REST API в Jenkins 2.218 и более ранних версиях, LTS 2.204.1 и более ранних версиях были уязвимы для атак clickjacking.
Веб-приложение не ограничивает или некорректно ограничивает объекты фреймов или слои пользовательского интерфейса, принадлежащие другому приложению или домену, что может привести к путанице у пользователя относительно того, с каким интерфейсом он взаимодействует.
https://cwe.mitre.org/data/definitions/1021.html →Открыть в коллекции CWE →Данная категория представляет один из классов в классификации уязвимостей «Семь порочных королевств». Она охватывает слабости, связанные с использованием программным обеспечением API вопреки его предназначению. Согласно авторам «Семи порочных королевств»: «API — это контракт между вызывающей и вызываемой стороной. Наиболее распространённые формы злоупотребления API возникают, когда вызывающая сторона не соблюдает свою часть контракта. Например, если программа не вызывает chdir() после chroot(), она нарушает контракт, определяющий безопасный способ смены активного корневого каталога. Другой показательный пример — ожидание от вызываемой стороны надёжной DNS-информации. В этом случае вызывающая сторона злоупотребляет API вызываемой стороны, делая определённые допущения о её поведении (что возвращаемое значение можно использовать для аутентификации). Контракт вызывающей и вызываемой сторон можно нарушить и с другой стороны. Например, если разработчик создаёт подкласс SecureRandom и возвращает неслучайное значение, контракт нарушается».
https://cwe.mitre.org/data/definitions/227.html →Открыть в коллекции CWE →Злоумышленник вынуждает жертву неосознанно инициировать некое действие в одной системе, взаимодействуя при этом с пользовательским интерфейсом совершенно другой — как правило, подконтрольной злоумышленнику или специально созданной им — системы.
https://capec.mitre.org/data/definitions/103.html →Открыть в коллекции CAPEC →Злоумышленник создаёт прозрачный оверлей с использованием Flash для перехвата действий пользователя с целью осуществления кликджекинг-атаки. При данной технике Flash-файл создаёт прозрачный оверлей поверх HTML-содержимого. Поскольку Flash-приложение находится поверх содержимого, действия пользователя — например, нажатия кнопок — перехватываются Flash-приложением, а не находящимся под ним HTML. Действие затем интерпретируется оверлеем для выполнения тех действий, которых хочет злоумышленник.
https://capec.mitre.org/data/definitions/181.html →Открыть в коллекции CAPEC →При атаке с наложением iFrame жертва обманом вынуждается неосознанно инициировать некое действие в одной системе, взаимодействуя при этом с пользовательским интерфейсом совершенно другой системы.
https://capec.mitre.org/data/definitions/222.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение имитирует ожидаемую или стандартную задачу с целью кражи конфиденциальной информации или получения привилегий пользователя.
https://capec.mitre.org/data/definitions/504.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение отображает интерфейс, вводящий пользователя в заблуждение и побуждающий нажать на нужное злоумышленнику место на экране. Зачастую это достигается путём наложения одного экрана поверх другого с видимостью единого интерфейса. Существует два основных метода достижения этого. Первый — использование свойства прозрачности, позволяющего нажатиям на экран проходить сквозь видимое приложение к приложению, работающему в фоновом режиме. Второй — стратегическое размещение небольшого элемента (например, кнопки или текстового поля) поверх видимого экрана таким образом, чтобы он воспринимался как часть нижележащего приложения. В обоих случаях пользователь нажимает на экран, не осознавая, с каким приложением взаимодействует.
https://capec.mitre.org/data/definitions/506.html →Открыть в коллекции CAPEC →Данный шаблон атаки сочетает вредоносный JavaScript и легитимную веб-страницу, загруженную в скрытый iframe. Вредоносный JavaScript получает возможность взаимодействовать с легитимной веб-страницей способом, незаметным для пользователя. Как правило, атака предполагает элемент социальной инженерии: злоумышленник должен убедить пользователя посетить веб-страницу под его контролем.
https://capec.mitre.org/data/definitions/587.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение имитирует запрос учётных данных с целью кражи учётных данных пользователя.
https://capec.mitre.org/data/definitions/654.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| atomic-enterprise-service-catalog | Отслеживается | |
| atomic-openshift | Отслеживается | |
| atomic-openshift-cluster-autoscaler | Отслеживается | |
| atomic-openshift-descheduler | Отслеживается | |
| atomic-openshift-dockerregistry | Отслеживается | |
| atomic-openshift-metrics-server | Отслеживается | |
| atomic-openshift-node-problem-detector | Отслеживается | |
| atomic-openshift-service-idler | Отслеживается | |
| atomic-openshift-web-console | Отслеживается | |
| cri-o | Отслеживается | |
| golang-github-openshift-oauth-proxy | Отслеживается | |
| golang-github-prometheus-alertmanager | Отслеживается | |
| golang-github-prometheus-node_exporter | Отслеживается | |
| golang-github-prometheus-prometheus | Отслеживается | |
| jenkins | Отслеживается | |
| jenkins | Отслеживается | |
| jenkins | Отслеживается | |
| jenkins-2-plugins | Отслеживается | |
| openshift-ansible | Отслеживается | |
| openshift-enterprise-autoheal | Отслеживается |