PT-2020-15470 · Jenkins · Jenkins Klocwork Analysis Plugin+1
Federico Pellegrin
·
Publicado
2020-09-01
·
Atualizado
2023-10-25
·
CVE-2020-2247
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Plugin de análise Klocwork do Jenkins, versões 2020.2.1 e anteriores
Descrição
O problema diz respeito a um ataque de entidade externa XML (XXE). Isso ocorre porque o analisador XML não está configurado para impedir tais ataques, permitindo que um usuário capaz de controlar os arquivos de entrada do analisador do plugin Klocwork faça com que o Jenkins analise um arquivo malicioso. Isso pode levar à extração de segredos do controlador do Jenkins ou à falsificação de solicitações do lado do servidor.
Recomendações
Para as versões 2020.2.1 e anteriores do plugin Jenkins Klocwork Analysis, considere desativar a funcionalidade do analisador XML até que um patch esteja disponível para impedir ataques XXE. Restrinja o acesso aos arquivos de entrada do plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Klocwork Analysis Plugin