漏洞标题
可能存在于 Jenkins 插件 Qualys Web 应用程序安全中的 XXE 漏洞
漏洞描述信息
在版本2.0.11之前,Qualys WAS的 Jenkins 插件被确认受到一个安全漏洞的影响。该漏洞在执行对 Qualys Cloud 服务的连通性检查时缺少一个权限检查。这允许具有登录访问的任何用户配置或编辑 jobs,以便使用插件并配置潜在的恶意端点,通过这种方式可以控制某些请求的响应,这些请求可能被 XXE 包体注入,在处理响应数据时导致 XXE。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
授权机制缺失
漏洞标题
Possible XXE vulnerability in Jenkins Plugin for Qualys Web Application Security
漏洞描述信息
Qualys Jenkins Plugin for WAS prior to version and including 2.0.11 was identified to be affected by a security flaw, which was missing a permission check while performing a connectivity check to Qualys Cloud Services. This allowed any user with login access to configure or edit jobs to utilize the plugin and configure potential a rouge endpoint via which it was possible to control response for certain request which could be injected with XXE payloads leading to XXE while processing the response data
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
漏洞类别
XML外部实体引用的不恰当限制(XXE)
漏洞标题
Jenkins Plugin Qualys 安全漏洞
漏洞描述信息
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Jenkins Plugin Qualys 2.0.11及之前版本存在安全漏洞,该漏洞源于缺少权限检查,允许任何具有登录访问权限的用户注入有效载荷导致外部实体注入(XXE)。
CVSS信息
N/A
漏洞类别
其他