PT-2020-15327 · Jenkins · Jenkins Fitnesse Plugin+1
Federico Pellegrin
·
Publicado
2020-02-12
·
Atualizado
2023-10-25
·
CVE-2020-2120
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Plugin Jenkins FitNesse, versões 1.30 e anteriores
Descrição
A vulnerabilidade permite que um usuário capaz de controlar os arquivos de entrada da etapa pós-compilação faça com que o Jenkins analise um arquivo malicioso que utilize entidades externas para extrair segredos do controlador do Jenkins, falsificação de solicitações do lado do servidor ou ataques de negação de serviço. Isso ocorre porque o analisador XML não está configurado para impedir ataques de entidade externa XML (XXE).
Recomendações
Para o plugin Jenkins FitNesse versões 1.30 e anteriores, atualize para a versão 1.31 ou posterior, que desativa o processamento de entidades externas para seu analisador XML.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Fitnesse Plugin