7.6высокая
BDU:2019-02940 (CVE-2019-10353)
Уязвимость сервера автоматизации Jenkins, связанная с отсутсвием идентификатора веб-сеанса, позволяющая нарушителю осуществить межсайтовую подделку запросов и получить несанкционированный доступ к защищаемой информации
Опубликовано: 2019-08-20
Описание
Уязвимость сервера автоматизации Jenkins связана с отсутсвием идентификатора веб-сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществить межсайтовую подделку запроса и получить несанкционированный доступ к защищаемой информации
Затрагиваемое ПО и версии
OpenShift Container Platform (4.1)Jenkins (до 2.185 включительно (Weekly))Jenkins (до 2.176.1 включительно (LTS))OpenShift Container Platform (3.11)OpenShift Container Platform (3.9)OpenShift Container Platform (3.7)OpenShift Container Platform (3.6)OpenShift Container Platform (3.10)
Способ устранения
Использование рекомендаций:
Для Jenkins:
https://jenkins.io/security/advisory/2019-07-17/#SECURITY-626
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-10353
Оценка CVSS
| Балл | 7.6 — высокая опасность |
Источники и патчи