Tomasz Szuba

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Docker Commons, versões 1.17 e anteriores **Descrição** O problema está relacionado ao fato de o Jenkins Docker Commons Plugin não sanitizar o nome de uma imagem ou tag, resultando em uma vulnerabilidade de execução de comando do sistema operacional. Isso pode ser explorado por invasores com permissão Item/Configure ou aqueles capazes de controlar o conteúdo do repositório SCM de uma tarefa previamente configurada, permitindo-lhes executar comandos arbitrários. **Recomendações** Para as versões 1.17 e anteriores do Jenkins Docker Commons Plugin, atualize para uma versão posterior à 1.17 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin de tarefas em lote do Jenkins, versões 1.19 e anteriores **Descrição** A vulnerabilidade permite que invasores com acesso geral/de leitura realizem determinadas ações devido a vulnerabilidades de falsificação de solicitação entre sites (CSRF). Essas ações incluem recuperar registros, criar ou excluir uma tarefa em lote. **Recomendações** Para as versões 1.19 e anteriores do plugin de tarefas em lote do Jenkins, considere restringir o acesso ao plugin para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, limite o acesso geral/de leitura apenas ao pessoal autorizado.