PT-2020-15396 · Jenkins · Jenkins Artifactory Plugin+1
Jesse Glick
·
Publicado
2020-05-06
·
Atualizado
2023-10-25
·
CVE-2020-2183
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Copy Artifact, versões 1.43.1 e anteriores
Descrição
O problema decorre de verificações de permissão inadequadas, permitindo que invasores copiem artefatos de tarefas às quais não têm permissão de acesso. Isso é particularmente preocupante para invasores com permissão de Job/Configure, pois eles podem configurar tarefas para copiar artefatos de tarefas restritas. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível.
Recomendações
Para o Jenkins Copy Artifact Plugin versões 1.43.1 e anteriores, atualize para a versão 1.44 ou posterior. Após a atualização, mude do “Modo de migração” para o “Modo de produção” para ativar as proteções adicionais, observando que isso pode fazer com que tarefas existentes falhem ao copiar artefatos.
Correção
Improper Authorization
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Artifactory Plugin