PT-2020-15400 · Jenkins · Jenkins Amazon Ec2 Plugin+1
Oleg Nenashev
·
Publicado
2020-05-06
·
Atualizado
2023-10-25
·
CVE-2020-2186
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins para Amazon EC2, versões 1.50.1 e anteriores
Descrição
Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores provisionem instâncias. A vulnerabilidade se deve ao fato de o plugin não exigir solicitações POST em vários pontos de extremidade HTTP, resultando em vulnerabilidades de falsificação de solicitação entre sites (CSRF). Isso permite que um invasor provisionar instâncias com um ID de modelo especificado por ele.
Recomendações
Para as versões 1.50.1 e anteriores do Jenkins Amazon EC2 Plugin, atualize para a versão 1.50.2 ou posterior, que exige solicitações POST para os pontos de extremidade HTTP afetados.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Amazon Ec2 Plugin