Плагин Jenkins Report Portal 0.5 и более ранние версии не маскируют токены доступа ReportPortal, отображаемые на форме конфигурации, что ув…
Плагин Jenkins Report Portal 0.5 и более ранние версии не маскируют токены доступа ReportPortal, отображаемые на форме конфигурации, что увеличивает вероятность того, что злоумышленники смогут их наблюдать и захватывать.
Продукт реализует механизм токенов безопасности для разграничения допустимых и недопустимых действий при поступлении транзакции от некоторой сущности. Однако формируемые в системе токены безопасности оказываются некорректными.
https://cwe.mitre.org/data/definitions/1270.html →Открыть в коллекции CWE →Нет описания.
https://capec.mitre.org/data/definitions/121.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует уязвимость в аутентификации для создания маркера доступа (или его эквивалента), имитирующего иной субъект, после чего связывает процесс/поток с этим поддельным маркером. Это приводит к тому, что последующий пользователь принимает решение или выполняет действие на основе предполагаемой идентификации, а не ответа, блокирующего злоумышленника.
https://capec.mitre.org/data/definitions/633.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/681.html →Открыть в коллекции CAPEC →