Cheng Gao

**Nome do software vulnerável e versões afetadas** Plugin Jenkins WebSphere Deployer, versões 1.6.1 e anteriores **Descrição** O problema está relacionado à configuração do analisador XML, que não impede ataques de entidade externa XML (XXE). Isso pode ser explorado por um usuário com permissões de Job/Configure para fazer upload de um arquivo WAR especialmente criado contendo um arquivo `WEB-INF/ibm-web-ext.xml`, que é então analisado pelo plugin. A exploração dessa vulnerabilidade pode ser feita por um usuário com permissões específicas. **Recomendações** Para as versões 1.6.1 e anteriores do Jenkins WebSphere Deployer Plugin, considere desativar a configuração do analisador XML até que um patch esteja disponível para impedir ataques XXE. Como solução alternativa temporária, restrinja o acesso ao plugin para usuários com permissões de Job/Configure a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.