CVE-2023-41937
SSRF vulnerability in Jenkins Bitbucket Push and Pull Request Plugin allows capturing credentials
7.5
HIGH
CVSS 3.1
EPSS 0.09%
描述
Jenkins Bitbucket Push and Pull Request Plugin 2.4.0 through 2.8.3 (both inclusive) trusts values provided in the webhook payload, including certain URLs, and uses configured Bitbucket credentials to connect to those URLs, allowing attackers to capture Bitbucket credentials stored in Jenkins by sending a crafted webhook payload.
如何修補 CVE-2023-41937
要修補 CVE-2023-41937,請將受影響套件升級到下列已修補版本。
- —升級至 2.8.4 或更新版本
CVE-2023-41937 正在被利用嗎?
低 — EPSS 為 0.1%,目前沒有觀察到大規模利用活動。
受影響套件(1)
- >= 2.4.0, < 2.8.4
CVSS 分數
| 來源 | 版本 | 嚴重程度 | 向量 |
|---|---|---|---|
| osv | CVSS 3.1 | HIGH7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |