CVE-2020-2091

Plugin Jenkins para Amazon EC2, versões 1.47 e anteriores

A falta de uma verificação de permissão no Jenkins Amazon EC2 Plugin permite que invasores com permissão Overall/Read se conectem a uma URL especificada pelo invasor dentro da região da AWS usando IDs de credenciais especificadas pelo invasor, obtidas por outro método. Essa vulnerabilidade também pode permitir que invasores capturem credenciais armazenadas no Jenkins, embora isso não tenha sido confirmado. Além disso, os métodos de validação de formulários são vulneráveis a ataques CSRF, pois não exigem solicitações POST.

Para as versões 1.47 e anteriores do plugin Jenkins Amazon EC2, atualize para a versão 1.48 ou posterior, que exige solicitações POST e permissão Geral/Administração para os métodos de validação de formulários afetados, mitigando assim a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso aos métodos de validação de formulários do plugin para minimizar o risco de exploração.