CVE-2020-2192

Módulos do plugin Jenkins Self-Organizing Swarm, versões 3.20 e anteriores

Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores adicionem ou removam rótulos de agentes. O plugin Swarm adiciona pontos de extremidade de API para gerenciar rótulos de agente, mas nas versões 3.20 e anteriores, esses pontos de extremidade exigem apenas um segredo global do Swarm e não realizam verificações regulares de permissão. Isso permite que usuários com permissão Agent/Create modifiquem rótulos de qualquer agente. Além disso, esses pontos de extremidade de API podem ser explorados sem a necessidade de solicitações POST, levando a uma vulnerabilidade de falsificação de solicitação entre sites.

Para as versões 3.20 e anteriores do plugin Jenkins Self-Organizing Swarm Plug-in Modules, atualize para a versão 3.21 ou posterior, que exige solicitações POST e permissão Agent/Configure para que o agente afetado acesse os pontos de extremidade da API, e não utiliza mais o segredo global do Swarm para essas operações.