PT-2020-15466 · Jenkins · Jenkins Valgrind Plugin+1
Federico Pellegrin
·
Publicado
2020-09-01
·
Atualizado
2023-10-25
·
CVE-2020-2245
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Valgrind, versões 0.28 e anteriores
Descrição
O problema diz respeito à configuração do analisador XML no plugin Jenkins Valgrind, que não impede ataques de entidade externa XML (XXE). Isso permite que um usuário capaz de controlar os arquivos de entrada do analisador do plugin Valgrind faça com que o Jenkins analise um arquivo malicioso que utilize entidades externas. Isso pode levar à extração de segredos do controlador do Jenkins ou à falsificação de solicitações do lado do servidor.
Recomendações
Para as versões 0.28 e anteriores do plugin Jenkins Valgrind, considere desativar o analisador XML ou restringir os arquivos de entrada para o analisador do plugin Valgrind até que um patch esteja disponível. Como solução alternativa temporária, restrinja o acesso à configuração do plugin para minimizar o risco de exploração.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Valgrind Plugin