PT-2020-15418 · Jenkins · Jenkins Fortify On Demand Plugin+1

Daniel Beck

Publicado

2020-07-02

Atualizado

2023-10-25

CVE-2020-2204

CVSS v2.0

5.5

Média

Vetor

AV:N/AC:L/Au:S/C:P/I:P/A:N

Nome do software vulnerável e versões afetadas

Plugin Jenkins Fortify on Demand, versões 5.0.1 e anteriores

Descrição

A ausência de uma verificação de permissão no plugin Jenkins Fortify on Demand permite que invasores com permissão “Overall/Read” se conectem ao endpoint Fortify on Demand configurado globalmente usando IDs de credenciais especificadas pelo invasor.

Recomendações

Para as versões 5.0.1 e anteriores do plugin Jenkins Fortify on Demand, atualize para a versão 6.0.1 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao endpoint Fortify on Demand configurado globalmente para minimizar o risco de exploração.

Correção

Improper Authorization

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-285CWE-862

Identificadores relacionados

CVE-2020-2204

GHSA-FHMF-XF2Q-4M8P

Produtos afetados

Jenkins

Jenkins Fortify On Demand Plugin

PT-2020-15418 · Jenkins · Jenkins Fortify On Demand Plugin+1

CVE-2020-2204

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9