漏洞标题
N/A
漏洞描述信息
在Jenkins Openstack Cloud Plugin 2.35及更早版本中,存在一个敏感信息漏洞。该漏洞存在于 BootSource.java、InstancesToRun.java、JCloudsCleanupThread.java、JCloudsCloud.java、JCloudsComputer.java、JCloudsPreCreationThread.java、JCloudsRetentionStrategy.java、JCloudsSlave.java、JCloudsSlaveTemplate.java、LauncherFactory.java、OpenstackCredentials.java、OpenstackMachineStep.java、SlaveOptions.java、SlaveOptionsDescriptor.java中。攻击者可以利用其他方法获取到攻击者的认证 ID,然后将该认证 ID 用于连接攻击者指定的 URL,从 Jenkins 中捕获存储的认证 ID,并促使 Jenkins 向攻击者指定的 URL 发送 HTTP 请求。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A exposure of sensitive information vulnerability exists in Jenkins Openstack Cloud Plugin 2.35 and earlier in BootSource.java, InstancesToRun.java, JCloudsCleanupThread.java, JCloudsCloud.java, JCloudsComputer.java, JCloudsPreCreationThread.java, JCloudsRetentionStrategy.java, JCloudsSlave.java, JCloudsSlaveTemplate.java, LauncherFactory.java, OpenstackCredentials.java, OpenStackMachineStep.java, SlaveOptions.java, SlaveOptionsDescriptor.java that allows attackers with Overall/Read access to Jenkins to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins, and to cause Jenkins to submit HTTP requests to attacker-specified URLs.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
CloudBees Jenkins Openstack Cloud Plugin 信息泄露漏洞
漏洞描述信息
CloudBees Jenkins(前称Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具,该工具主要用于监控秩序重复的工作。Openstack Cloud Plugin是使用在其中的一个用于创建Openstack云实例的插件。 CloudBees Jenkins Openstack Cloud Plugin 2.35及之前版本中的多个文件存在信息泄露漏洞,该漏洞源于程序没有执行权限检测。攻击者可利用该漏洞捕获储存在Jenkins中的凭证。以下文件收到影响:BootS
CVSS信息
N/A
漏洞类别
信息泄露