Nick Collisson

**Nome do software vulnerável e versões afetadas** Versões 2.227 e anteriores do Jenkins Versões LTS 2.204.5 e anteriores do Jenkins **Descrição** O problema está relacionado à ausência de proteção contra falsificação de solicitação entre sites (CSRF) no Jenkins. Isso permite que invasores criem URLs que contornam a proteção contra CSRF para qualquer URL de destino, possibilitando que realizem ações arbitrárias em um dispositivo vulnerável usando uma página da web especialmente criada. A discrepância na representação do caminho da URL entre o ponto de extensão e a estrutura web Stapler nas versões 2.227 e anteriores do Jenkins, e nas versões LTS 2.204.5 e anteriores, é a causa principal deste problema. **Recomendações** Para as versões 2.227 e anteriores do Jenkins, atualize para uma versão que utilize a mesma representação do caminho da URL para determinar se a proteção CSRF é necessária para uma determinada URL, tal como a estrutura web Stapler utiliza. Para as versões LTS 2.204.5 e anteriores do Jenkins, atualize para uma versão que utilize a mesma representação do caminho da URL para determinar se a proteção CSRF é necessária para uma determinada URL, tal como a estrutura web Stapler utiliza. Como solução alternativa temporária, considere definir a propriedade do sistema `hudson.security.csrf.CrumbFilter.UNPROCESSED PATHINFO` como `true` para desativar esta correção de segurança em caso de problemas. Além disso, considere definir a propriedade do sistema `jenkins.security.SuspiciousRequestFilter.allowSemicolonsInPath` como `true` para desativar a proteção contra caracteres de ponto-e-vírgula (`;`) na parte do caminho de uma URL, se necessário.