CVE-2021-21604

Versões 2.274 e anteriores do Jenkins; versões LTS 2.263.1 e anteriores

A vulnerabilidade permite que invasores com permissão para criar ou configurar diversos objetos injetem conteúdo malicioso no Old Data Monitor, resultando na instanciação de objetos potencialmente perigosos após serem descartados por um administrador. Isso é possível porque, quando a desserialização falha devido a dados inválidos, o Jenkins armazena referências de objetos inválidos criadas por meio de APIs REST XML no Old Data Monitor. Se um administrador descartar os dados antigos, alguns dados errôneos enviados a esses endpoints podem ser mantidos. Invasores com permissões View/Create, Job/Create, Agent/Create ou suas respectivas permissões */Configure podem explorar essa vulnerabilidade.

Para as versões 2.274 e anteriores do Jenkins, atualize para a versão 2.275 ou posterior.

Para as versões LTS 2.263.1 e anteriores, atualize para a versão 2.263.2 ou posterior.

Como solução alternativa temporária, considere definir as propriedades do sistema Java hudson.util.RobustReflectionConverter.recordFailuresForAdmins e hudson.util.RobustReflectionConverter.recordFailuresForAllAuthentications como true para registrar os envios de dados de configuração de administradores ou de todos os usuários, desativando parcial ou totalmente esta correção.