Jenkins Gitea Plugin <=1.4.4 存在 token 泄露漏洞
漏洞描述 Jenkins 是一个用 Java 开发的开源自动化服务器,Gitea 是一个用于代码托管的轻量级单体程序,用于将 Jenkins CI/CD 权限直接赋予 Gitea 服务器上被授权的组织或个人,用户无需单独为每一个仓库配置 Jenkins 触发器即可享受 CI/CD 功能。 Jenkins Gitea Plugin 1.4.4及之前版本中由于 Gitea 个人访问令牌的实现不支持凭证屏蔽,因此在构建日志中公开 Gitea 个人访问令牌(如当作为存储库 URL 的一部分打印时)。具有构建日志查看权限的攻击者可利用此漏洞获取用户 token,建议用户更新 Gitea Plugin 1.4.5 及以上版本,不能更新的用户可使用 SSH 对 Gitea 进行访问。 漏洞名称 Jenkins Gitea Plugin <=1.4.4 存在 token 泄露漏洞 漏洞类型 敏感数据的明文传输 发现时间 2022-12-12 漏洞影响广度 一般 MPS编号 MPS-2022-66987 CVE编号 CVE-2022-46685 CNVD编号 - 影响范围 org.jenkins-...
