Katalog CVE

CVE-2023-37948

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

Wtyczka Jenkins Oracle Cloud Infrastructure Compute w wersji 1.0.16 i wcześniejszych nie weryfikuje kluczy hostów SSH podczas łączenia z chmurami OCI, co umożliwia ataki typu man-in-the-middle.

Ocena ryzyka

Brak weryfikacji kluczy SSH stwarza ryzyko przechwycenia danych i nieautoryzowanego dostępu do zasobów chmurowych, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji, która wprowadza poprawki dotyczące weryfikacji kluczy hostów SSH.

Oryginalny opis (angielski, źródło NVD)

Jenkins Oracle Cloud Infrastructure Compute Plugin 1.0.16 and earlier does not validate SSH host keys when connecting OCI clouds, enabling man-in-the-middle attacks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS