漏洞标题
N/A
漏洞描述信息
在Jenkins vSphere插件2.16及其更早版本中存在一个跨站点请求伪造漏洞,这些漏洞存在于 Clone.java、CloudSelectorParameter.java、ConvertToTemplate.java、ConvertToVm.java、Delete.java、DeleteSnapshot.java、Deploy.java、ExposeGuestInfo.java、FolderVSphereCloudProperty.java、PowerOff.java、PowerOn.java、Reconfigure.java、Rename.java、RenameSnapshot.java、 RevertToSnapshot.java、SuspendVm.java、TakeSnapshot.java、VSphereBuildStepContainer.java、vSphereCloudProvisionedSlave.java、vSphereCloudSlave.java、vSphereCloudSlaveTemplate.java、VSphereConnectionConfig.java、vSphereStep.java,允许攻击者执行表单验证相关操作,包括向配置好的vSphere服务器发送大量请求,可能导致拒绝服务,或者将 Jenkins 存储的已知ID的凭据发送到攻击者指定的服务器(“测试连接”)。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A cross-site request forgery vulnerability exists in Jenkins vSphere Plugin 2.16 and older in Clone.java, CloudSelectorParameter.java, ConvertToTemplate.java, ConvertToVm.java, Delete.java, DeleteSnapshot.java, Deploy.java, ExposeGuestInfo.java, FolderVSphereCloudProperty.java, PowerOff.java, PowerOn.java, Reconfigure.java, Rename.java, RenameSnapshot.java, RevertToSnapshot.java, SuspendVm.java, TakeSnapshot.java, VSphereBuildStepContainer.java, vSphereCloudProvisionedSlave.java, vSphereCloudSlave.java, vSphereCloudSlaveTemplate.java, VSphereConnectionConfig.java, vSphereStep.java that allows attackers to perform form validation related actions, including sending numerous requests to the configured vSphere server, potentially resulting in denial of service, or send credentials stored in Jenkins with known ID to an attacker-specified server ("test connection").
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
CloudBees Jenkins vSphere Plugin 跨站请求伪造漏洞
漏洞描述信息
CloudBees Jenkins是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。vSphere Plugin是使用其中的一个用于控制和使用托管在VMware vSphere服务器中虚拟机的插件。 CloudBees Jenkins vSphere Plugin 2.16及之前版本中的多个文件存在跨站请求伪造漏洞。攻击者可通过执行与表单验证相关的操作(包括向配置的vSphere服务器发送大量请求)利用该漏洞造成拒绝服务,或向
CVSS信息
N/A
漏洞类别
跨站请求伪造