Page 3 of 11 results (0.004 seconds)

CVSS: 7.5EPSS: 0%CPEs: 124EXPL: 0

Git Plugin connects to a user-specified Git repository as part of form validation. An attacker with no direct access to Jenkins but able to guess at a username/password credentials ID could trick a developer with job configuration permissions into following a link with a maliciously crafted Jenkins URL which would result in the Jenkins Git client sending the username and password to an attacker-controlled server. El plugin Git se conecta a un repositorio de Git especificado por el usuario como parte de la validación de formularios. Un atacante que no tenga acceso directo a Jenkins pero que pueda adivinar un ID de credenciales de nombre de usuario/contraseña podría engañar a un desarrollador con permisos de configuración de tareas para que acceda a un enlace con una URL Jenkins manipulada con fines maliciosos, lo que puede provocar que el cliente de Git de Jenkins envíe el nombre de usuario y la contraseña a un servidor controlado por el atacante. • http://www.securityfocus.com/bid/100435 https://jenkins.io/security/advisory/2017-07-10 • CWE-352: Cross-Site Request Forgery (CSRF) •