Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una URL de JDBC en Jenkins Pipeline Maven Integration Plugin (CVE-2020-2234)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/08/2020
Última modificación:
25/10/2023

Descripción

Una falta de comprobación de permiso en Jenkins Pipeline Maven Integration Plugin versiones 3.8.2 y anteriores, permite a usuarios con acceso general y de lectura conectarse a una URL de JDBC especificada por el atacante usando los ID de credenciales especificadas por el atacante obtenidas por medio de otro método, capturando potencialmente credenciales almacenadas en Jenkins

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jenkins:pipeline_maven_integration:*:*:*:*:*:jenkins:*:* 3.8.2 (incluyendo)