PT-2020-15324 · Jenkins · Jenkins Pipeline Github Notify Step Plugin+1
Thomas De Grenier De Latour
·
Publicado
2020-02-12
·
Atualizado
2023-10-25
·
CVE-2020-2117
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Pipeline GitHub Notify Step, versões 1.0.4 e anteriores
Descrição
A ausência de uma verificação de permissão no plugin permite que invasores com permissão Geral/Leitura se conectem a uma URL especificada pelo invasor usando IDs de credenciais fornecidas por ele e obtidas por outro método, capturando assim as credenciais armazenadas no Jenkins.
Recomendações
Para o Jenkins Pipeline GitHub Notify Step Plugin versões 1.0.4 e anteriores, considere restringir o acesso ao plugin até que uma correção esteja disponível e limite o uso da permissão Geral/Leitura para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Authorization
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Pipeline Github Notify Step Plugin