CVE-2023-4777 – Incorrect Permission Assignment on Qualys Container Scanning Connector Plugin 1.6.2.6 and earlier

https://notcve.org/view.php?id=CVE-2023-4777

An incorrect permission check in Qualys Container Scanning Connector Plugin 1.6.2.6 and earlier allows attackers with global Item/Configure permission (while lacking Item/Configure permission on any particular job) to enumerate credentials IDs of credentials stored in Jenkins and to connect to an attacker-specified URL using attacker-specified credentials IDs, capturing credentials stored in Jenkins. Una comprobación de permisos incorrecta en Qualys Container Scanning Connector Plugin 1.6.2.6 y versiones anteriores permite a los atacantes con autorización global Item/Configure (aunque carecen de autorización Item/Configure en cualquier job en particular) enumerar los ID de credenciales de las credenciales almacenadas en Jenkins y conectarse a una URL especificada por el atacante, utilizando ID de credenciales especificadas por el atacante, capturando las credenciales almacenadas en Jenkins. • https://www.qualys.com/security-advisories • CWE-732: Incorrect Permission Assignment for Critical Resource •