PT-2020-15355 · Jenkins · Jenkins Rundeck Plugin+1
Federico Pellegrin
·
Publicado
2020-03-09
·
Atualizado
2023-10-25
·
CVE-2020-2144
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Rundeck versões 3.6.6 e anteriores
Descrição
A vulnerabilidade permite que um usuário com acesso geral/de leitura faça com que o Jenkins analise uma solicitação HTTP maliciosa contendo dados XML que utilizam entidades externas para extrair segredos do controlador do Jenkins ou para falsificação de solicitações no lado do servidor. Isso ocorre porque o analisador XML não está configurado para impedir ataques de entidade externa XML (XXE).
Recomendações
Para as versões 3.6.6 e anteriores do plugin Jenkins Rundeck, atualize para a versão 3.6.7 ou posterior, que desativa a resolução de entidades externas para seu analisador XML.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Rundeck Plugin