PT-2020-15350 · Jenkins · Jenkins Cobertura Plugin+1
Federico Pellegrin
·
Publicado
2020-03-09
·
Atualizado
2023-10-25
·
CVE-2020-2139
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:N/I:C/A:C |
Nome do software vulnerável e versões afetadas
Plugin Cobertura do Jenkins, versões 1.15 e anteriores
Descrição
A vulnerabilidade permite que invasores capazes de controlar o conteúdo do arquivo de relatório de cobertura sobrescrevam qualquer arquivo no sistema de arquivos do Jenkins master. Isso se deve a uma vulnerabilidade de gravação arbitrária de arquivos. O Cobertura Plugin 1.16 sanitiza os caminhos dos arquivos para impedir a saída do diretório base, indicando que as versões anteriores à 1.16 estão afetadas.
Recomendações
Para as versões 1.15 e anteriores do plugin Cobertura do Jenkins, atualize para a versão 1.16 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao conteúdo do arquivo de relatório de cobertura para minimizar o risco de exploração.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Cobertura Plugin