CVE-2020-2090

Plugin Jenkins para Amazon EC2, versões 1.47 e anteriores

Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a uma URL especificada por eles dentro da região da AWS, utilizando IDs de credenciais fornecidas por eles mesmos e obtidas por outro método. A vulnerabilidade se deve à falta de verificações de permissão nos métodos que realizam a validação de formulários, o que pode ser explorado por usuários com acesso geral/leitura ao Jenkins. Isso também pode permitir que invasores capturem credenciais armazenadas no Jenkins, embora isso não tenha sido confirmado. Os métodos de validação de formulários também são vulneráveis a CSRF, pois não exigem solicitações POST.

Para as versões 1.47 e anteriores do Jenkins Amazon EC2 Plugin, atualize para a versão 1.48 ou posterior, que exige solicitações POST e permissão Geral/Administração para os métodos de validação de formulários afetados, mitigando o problema.