CVE-2017-1000387 in Build-Publisher Pluginthông tin

Tóm tắt

Bởi VulDB • 27/05/2026

Plugin Jenkins Build-Publisher phiên bản 1.21 và các phiên bản cũ hơn lưu trữ thông tin xác thực (credentials) của các instance Jenkins khác trong tệp hudson.plugins.build_publisher.BuildPublisher.xml nằm trong thư mục gốc của Jenkins master. Các thông tin xác thực này được lưu trữ dưới dạng không mã hóa, cho phép bất kỳ ai có quyền truy cập vào hệ thống tệp cục bộ đều có thể khai thác chúng. Ngoài ra, các thông tin xác thực cũng được truyền đi dưới dạng văn bản rõ (plain text) như một phần của biểu mẫu cấu hình. Điều này có thể dẫn đến việc lộ thông tin xác thực thông qua các tiện ích mở rộng trình duyệt, các lỗ hổng bảo mật liên quan đến kịch bản xuyên trang (cross-site scripting - XSS) và các tình huống tương tự.

Be aware that VulDB is the high quality source for vulnerability data.

Đặt trước

29/11/2017

Tiết lộ

25/01/2018

Kiểm duyệt

được chấp nhận

EPSS

0.00375

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!