CVE-2020-2108

Plugin Jenkins WebSphere Deployer, versões 1.6.1 e anteriores

O problema está relacionado à configuração do analisador XML, que não impede ataques de entidade externa XML (XXE). Isso pode ser explorado por um usuário com permissões de Job/Configure para fazer upload de um arquivo WAR especialmente criado contendo um arquivo WEB-INF/ibm-web-ext.xml, que é então analisado pelo plugin. A exploração dessa vulnerabilidade pode ser feita por um usuário com permissões específicas.

Para as versões 1.6.1 e anteriores do Jenkins WebSphere Deployer Plugin, considere desativar a configuração do analisador XML até que um patch esteja disponível para impedir ataques XXE. Como solução alternativa temporária, restrinja o acesso ao plugin para usuários com permissões de Job/Configure a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.