<p dir="ltr">The 1.652.x series is an lts  release, so fixes were backported to it  that are not in subsequent dev releases.</p>
<p dir="ltr">Darragh Bailey<br>
"Nothing is foolproof to a sufficiently talented fool" - unknown</p>
<div class="gmail_quote">On 14 Jun 2016 20:02, "Zaro" <<a href="mailto:zaro0508@gmail.com">zaro0508@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">----- [ snippet ] ------------<br>
><br>
> The behavior changed between 1.651.1 and 1.652.2.<br>
><br>
> Specifically this was a security fix that came in with 1.652.2. See the<br>
> security fixes [0] that came with the release notes. Search for<br>
> SECURITY-250 or CVE-2016-3723.<br>
><br>
> -Andy-<br>
><br>
> [0]<br>
> <a href="https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-05-11" rel="noreferrer" target="_blank">https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-05-11</a><br>
<br>
Hmm.  I just tested with Jenkins ver 1.653 and was still able to<br>
access plugin info using REST api as an anonymous user.<br>
I enabled security with following settings:<br>
 * jenkins own db<br>
 * logged-in user can do anything<br>
 * prevent cross site request<br>
<br>
While not logged in I can get plugin info using<br>
'<jenkins-baseurl>/pluginManager/api/json?depth=1'<br>
<br>
Maybe this there's some setting you have enabled that's causing your<br>
jenkins to require admin to access plugin info?<br>
</blockquote></div>