Configuration as Code Plugin bis 1.55 auf Jenkins Authentication Token Information Disclosure

In Configuration as Code Plugin bis 1.55 auf Jenkins (Jenkins Plugin) wurde eine problematische Schwachstelle entdeckt. Dabei geht es um ein unbekannter Codeteil der Komponente Authentication Token Handler. Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Feld13.01.2022 07:3015.01.2022 14:42
nameConfiguration as Code PluginConfiguration as Code Plugin
version<=1.55<=1.55
platformJenkinsJenkins
componentAuthentication Token HandlerAuthentication Token Handler
cwe208208
risk11
cvss3_vuldb_acHH
cvss3_vuldb_uiNN
cvss3_vuldb_sUU
cvss3_vuldb_cLL
cvss3_vuldb_iNN
cvss3_vuldb_aNN
cvss3_vuldb_rcCC
urlhttps://www.jenkins.io/security/advisory/2022-01-12/#SECURITY-2141https://www.jenkins.io/security/advisory/2022-01-12/#SECURITY-2141
cveCVE-2022-23106CVE-2022-23106
cve_assigned16418556001641855600
date1642028400 (13.01.2022)1642028400 (13.01.2022)
typeJenkins PluginJenkins Plugin
cvss2_vuldb_acHH
cvss2_vuldb_ciPP
cvss2_vuldb_iiNN
cvss2_vuldb_aiNN
cvss2_vuldb_rcCC
cvss2_vuldb_avAA
cvss2_vuldb_auSS
cvss2_vuldb_eNDND
cvss2_vuldb_rlNDND
cvss3_vuldb_avAA
cvss3_vuldb_prLL
cvss3_vuldb_eXX
cvss3_vuldb_rlXX
cvss2_vuldb_basescore1.41.4
cvss2_vuldb_tempscore1.41.4
cvss3_vuldb_basescore2.62.6
cvss3_vuldb_tempscore2.62.6
cvss3_meta_basescore2.62.6
cvss3_meta_tempscore2.62.6
price_0day$0-$5k$0-$5k
confirm_urlhttps://www.jenkins.io/security/advisory/2022-01-12/#SECURITY-2141
cve_nvd_summaryJenkins Configuration as Code Plugin 1.55 and earlier used a non-constant time comparison function when validating an authentication token allowing attackers to use statistical methods to obtain a valid authentication token.

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!