PT-2020-15405 · Jenkins · Jenkins Self-Organizing Swarm Plug-In Modules Plugin+1
Oleg Nenashev
·
Publicado
2020-06-03
·
Atualizado
2023-10-25
·
CVE-2020-2191
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plug-in Jenkins Self-Organizing Swarm Plug-in Modules, versões 3.20 e anteriores
Descrição
O problema diz respeito à ausência de verificações de permissão nos pontos de extremidade da API que permitem adicionar e remover rótulos de agentes. Isso permite que usuários com permissão Agent/Create modifiquem os rótulos de qualquer agente. Os pontos de extremidade da API afetados exigem apenas um segredo global do Swarm para serem usados, sem realizar uma verificação regular de permissão.
Recomendações
Para as versões 3.20 e anteriores do plugin Jenkins Self-Organizing Swarm Plug-in Modules, atualize para a versão 3.21 ou posterior, que exige permissão Agent/Configure para que o agente afetado acesse os pontos de extremidade da API e não usa mais o segredo global do Swarm para esses pontos de extremidade.
Correção
Improper Authorization
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Self-Organizing Swarm Plug-In Modules Plugin