PT-2020-15535 · Jenkins · Jenkins Mercurial Plugin+1
Daniel Beck
·
Publicado
2020-11-04
·
Atualizado
2023-10-25
·
CVE-2020-2305
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Mercurial versões 2.11 e anteriores
Plugin Jenkins Mercurial versões anteriores à 2.12
Plugin Jenkins Mercurial versões anteriores à 2.10.1
Plugin Jenkins Mercurial versões anteriores à 2.9.1
Versões do plugin Jenkins Mercurial anteriores à 2.8.1
Descrição
A vulnerabilidade permite que invasores capazes de controlar um processo de agente façam com que o Jenkins analise um arquivo de changelog malicioso, utilizando entidades externas para extrair segredos do controlador do Jenkins ou para falsificação de solicitações do lado do servidor. Isso ocorre porque o analisador XML não está configurado para impedir ataques de entidade externa XML (XXE).
Recomendações
Para as versões 2.11 e anteriores do plugin Jenkins Mercurial, atualize para a versão 2.12 ou posterior.
Para as versões anteriores à 2.10.1 do plugin Jenkins Mercurial, atualize para a versão 2.10.1 ou posterior.
Para as versões anteriores à 2.9.1 do plugin Jenkins Mercurial, atualize para a versão 2.9.1 ou posterior.
Para versões do Jenkins Mercurial Plugin anteriores à 2.8.1, atualize para a versão 2.8.1 ou posterior.
Como solução alternativa temporária, considere desativar o analisador XML até que um patch esteja disponível.
Exploit
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Mercurial Plugin