CVE-2023-43494СреднийПодтвержденаЭксплойт есть
DEB
DEB
Бюллетени безопасности Debian (DSA)
DSA публикуются командой безопасности Debian для проблем, затрагивающих стабильный дистрибутив. Трекер security-tracker.debian.org дополнительно сопоставляет каждый CVE со статусом на уровне пакетов по всем поддерживаемым редакциям.
Регион
Международно
Обновления
1 ч
Лицензия
Общественное достояние
Бюллетени для стабильной и предыдущей стабильной версий Debian. Примечания к релизам содержат точную версию .deb-пакета, устраняющего каждую уязвимость.
https://www.debian.org/security/ →Поделиться ссылкой
Любой, у кого есть ссылка, сможет открыть эту уязвимость.
Jenkins 2.50 по 2.423 (включительно), LTS 2.60.1 по 2.414.1 (включительно) не исключает конфиденциальные переменные сборки (например, значе…
CVSS
4.3
Средний
EPSS
0.03
p87
Опубликовано
2023-01-01
Обновлено
2023-01-01
Описание
Jenkins 2.50 по 2.423 (включительно), LTS 2.60.1 по 2.414.1 (включительно) не исключает конфиденциальные переменные сборки (например, значения параметров пароля) из поиска в виджете истории сборки, что позволяет злоумышленникам с разрешением Item/Read получать значения конфиденциальных переменных, используемых в сборках, путем итеративного тестирования различных символов до тех пор, пока не будет обнаружена правильная последовательность.
Теги · CWE
CWE-625
CWE-625БазаЧерновик
Слишком разрешительное регулярное выражение
Продукт использует регулярное выражение, недостаточно ограничивающее допустимое множество значений.
https://cwe.mitre.org/data/definitions/625.html →Открыть в коллекции CWE →Затронутые продукты
Jenkins 2.50–2.424Jenkins 2.60.1–2.414.2
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Хронология
2023-01-01
Опубликована
2023-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.034 · p87
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
CVE-2023-43494
github-poc · https://github.com/mqxmm/CVE-2023-43494
Источники данных
DEB
DEB
Бюллетени безопасности Debian (DSA)
DSA публикуются командой безопасности Debian для проблем, затрагивающих стабильный дистрибутив. Трекер security-tracker.debian.org дополнительно сопоставляет каждый CVE со статусом на уровне пакетов по всем поддерживаемым редакциям.
Регион
Международно
Обновления
1 ч
Лицензия
Общественное достояние
Бюллетени для стабильной и предыдущей стабильной версий Debian. Примечания к релизам содержат точную версию .deb-пакета, устраняющего каждую уязвимость.
https://www.debian.org/security/ →CVE
CVE
Национальная база данных уязвимостей США
NVD — репозиторий данных об управлении уязвимостями правительства США, построенный поверх списка CVE от MITRE. Каждая запись содержит утверждения применимости CPE, базовые оценки CVSS v2 и v3.x, сопоставление с CWE и перекрёстные ссылки на бюллетени.
Регион
США
Обновления
15 мин
Лицензия
Общественное достояние
Полный каталог публично раскрытых уязвимостей с привязкой к CPE, оценками CVSS и ссылками на первоисточники. Де-факто стандарт для кросс-вендорной корреляции.
https://nvd.nist.gov →