Vulnerabilidad en Jenkins (CVE-2017-1000401)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
26/01/2018
Última modificación:
08/05/2019
Descripción
El control de formularios por defecto en Jenkins 2.73.1 y anteriores y 2.83 y anteriores para contraseñas y otros secretos, , es compatible con validación de formularios (por ejemplo, para claves API). Las peticiones AJAX de validación de formularios se enviaron mediante GET, lo que podría resultar en que los secretos se registren en un log de acceso HTTP en configuraciones que no son por defecto de Jenkins y se pongan a disposición de usuarios con acceso a estos archivos de registro. La validación de formulario para se envía ahora siempre mediante POST, que no suele registrarse.
Impacto
Puntuación base 3.x
2.20
Gravedad 3.x
BAJA
Puntuación base 2.0
1.20
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jenkins:jenkins:*:*:*:*:lts:*:*:* | 2.73.1 (incluyendo) | |
| cpe:2.3:a:jenkins:jenkins:*:*:*:*:-:*:*:* | 2.83 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página