CVE-2023-37948
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Wtyczka Jenkins Oracle Cloud Infrastructure Compute w wersji 1.0.16 i wcześniejszych nie weryfikuje kluczy hostów SSH podczas łączenia z chmurami OCI, co umożliwia ataki typu man-in-the-middle.
Ocena ryzyka
Brak weryfikacji kluczy SSH stwarza ryzyko przechwycenia danych i nieautoryzowanego dostępu do zasobów chmurowych, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji, która wprowadza poprawki dotyczące weryfikacji kluczy hostów SSH.
Oryginalny opis (angielski, źródło NVD)
Jenkins Oracle Cloud Infrastructure Compute Plugin 1.0.16 and earlier does not validate SSH host keys when connecting OCI clouds, enabling man-in-the-middle attacks.

