低危 Jenkins Gitea Plugin <=1.4.4 存在 token 泄露漏洞
CVE编号
CVE-2022-46685利用情况
暂无补丁情况
官方补丁披露时间
2022-12-12漏洞描述
Jenkins 是一个用 Java 开发的开源自动化服务器,Gitea 是一个用于代码托管的轻量级单体程序,用于将 Jenkins CI/CD 权限直接赋予 Gitea 服务器上被授权的组织或个人,用户无需单独为每一个仓库配置 Jenkins 触发器即可享受 CI/CD 功能。 Jenkins Gitea Plugin 1.4.4及之前版本中由于 Gitea 个人访问令牌的实现不支持凭证屏蔽,因此在构建日志中公开 Gitea 个人访问令牌(如当作为存储库 URL 的一部分打印时)。具有构建日志查看权限的攻击者可利用此漏洞获取用户 token,建议用户更新 Gitea Plugin 1.4.5 及以上版本,不能更新的用户可使用 SSH 对 Gitea 进行访问。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://www.jenkins.io/security/advisory/2022-12-07/ |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | gitea | gitea | * | Up to (excluding) 1.4.5 | |||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-319 | 敏感数据的明文传输 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论