Плагин Jenkins LoadNinja 2.1 и более ранние версии хранят ключи API LoadNinja в незашифрованном виде в файлах config.xml задания на контроллере Jenkins, где их могут просматривать пользователи с разрешением на чтение элемента/расширенное чтение или доступом к файловой системе контроллера Jenkins.
Показать оригинальное описание (EN)
Jenkins LoadNinja Plugin 2.1 and earlier stores LoadNinja API keys unencrypted in job config.xml files on the Jenkins controller where they can be viewed by users with Item/Extended Read permission or access to the Jenkins controller file system.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Jenkins Loadninja
cpe:2.3:a:jenkins:loadninja:*:*:*:*:*:jenkins:*:*
|
— |
2.2
|