CVE-2020-2160

Versões 2.227 e anteriores do Jenkins

Versões LTS 2.204.5 e anteriores do Jenkins

O problema está relacionado à ausência de proteção contra falsificação de solicitação entre sites (CSRF) no Jenkins. Isso permite que invasores criem URLs que contornam a proteção contra CSRF para qualquer URL de destino, possibilitando que realizem ações arbitrárias em um dispositivo vulnerável usando uma página da web especialmente criada. A discrepância na representação do caminho da URL entre o ponto de extensão e a estrutura web Stapler nas versões 2.227 e anteriores do Jenkins, e nas versões LTS 2.204.5 e anteriores, é a causa principal deste problema.

Para as versões 2.227 e anteriores do Jenkins, atualize para uma versão que utilize a mesma representação do caminho da URL para determinar se a proteção CSRF é necessária para uma determinada URL, tal como a estrutura web Stapler utiliza.

Para as versões LTS 2.204.5 e anteriores do Jenkins, atualize para uma versão que utilize a mesma representação do caminho da URL para determinar se a proteção CSRF é necessária para uma determinada URL, tal como a estrutura web Stapler utiliza.

Como solução alternativa temporária, considere definir a propriedade do sistema hudson.security.csrf.CrumbFilter.UNPROCESSED PATHINFO como true para desativar esta correção de segurança em caso de problemas.

Além disso, considere definir a propriedade do sistema jenkins.security.SuspiciousRequestFilter.allowSemicolonsInPath como true para desativar a proteção contra caracteres de ponto-e-vírgula (;) na parte do caminho de uma URL, se necessário.