Bitbucket Branch Source Plugin bis 737.vdf9dc06105be auf Jenkins erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.3$0-$5k0.00

Eine Schwachstelle wurde in Bitbucket Branch Source Plugin bis 737.vdf9dc06105be auf Jenkins (Jenkins Plugin) gefunden. Sie wurde als kritisch eingestuft. Davon betroffen ist eine unbekannte Funktion. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-862. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:

A missing permission check in Jenkins Bitbucket Branch Source Plugin 737.vdf9dc06105be and earlier allows attackers with Overall/Read access to enumerate credentials IDs of credentials stored in Jenkins.

Die Schwachstelle wurde am 13.01.2022 veröffentlicht. Das Advisory kann von jenkins.io heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 28.10.2021 als CVE-2022-20618 statt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 15.01.2022).

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Produktinfoanpassen

Typ

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.3

VulDB Base Score: 4.3
VulDB Temp Score: 4.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfoanpassen

Klasse: Erweiterte Rechte
CWE: CWE-862
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfoanpassen

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔒

Timelineinfoanpassen

28.10.2021 CVE zugewiesen
13.01.2022 +77 Tage Advisory veröffentlicht
13.01.2022 +0 Tage VulDB Eintrag erstellt
15.01.2022 +2 Tage VulDB letzte Aktualisierung

Quelleninfoanpassen

Advisory: jenkins.io
Status: Bestätigt
Bestätigung: 🔒

CVE: CVE-2022-20618 (🔒)

Eintraginfoanpassen

Erstellt: 13.01.2022 06:40
Aktualisierung: 15.01.2022 12:22
Anpassungen: (2) advisory_confirm_url source_cve_nvd_summary
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!