PT-2020-15411 · Jenkins · Jenkins Project Inheritance Plugin+1
Daniel Beck
+1
·
Publicado
2020-06-03
·
Atualizado
2023-10-25
·
CVE-2020-2197
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Project Inheritance do Jenkins, versões 21.04.03 e anteriores
Plugin Project Inheritance do Jenkins, versão 19.08.02 e anteriores
Descrição
A vulnerabilidade permite o acesso às configurações de tarefas do Inheritance Project no formato XML sem exigir a permissão necessária Job/ExtendedRead. Normalmente, o Jenkins limita o acesso aos dados XML de configuração de tarefas (
config.xml) a usuários com permissão Job/ExtendedRead, que geralmente está implícita na permissão Job/Configure. O Plugin de Herança de Projetos possui um recurso de inspeção de tarefas que utiliza a URL da API “/job/…/getConfigAsXML” para seu tipo de tarefa de Herança de Projetos. Esse endpoint não verifica permissões, concedendo acesso aos dados XML de configuração de tarefas a todos os usuários com permissão Job/Read. Além disso, os valores criptografados de segredos armazenados na configuração da tarefa não são ocultados para usuários sem permissão Job/Configure.Recomendações
Para as versões 21.04.03 e anteriores do Plugin de Herança de Projetos do Jenkins, considere desativar o endpoint da API
/job/…/getConfigAsXML até que um patch esteja disponível.Para as versões 19.08.02 e anteriores do Plugin de Herança de Projetos do Jenkins, restrinja o acesso às configurações de tarefas do Projeto de Herança para minimizar o risco de exploração.
Evite usar a API
config.xml para usuários sem permissão Job/Configure até que o problema seja resolvido.Correção
Improper Authorization
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Project Inheritance Plugin