PT-2021-14679 · Jenkins · Jenkins Team Foundation Server Plugin+1
Daniel Beck
·
Publicado
2021-03-30
·
Atualizado
2023-10-25
·
CVE-2021-21636
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Team Foundation Server, versões 5.157.1 e anteriores
Descrição
A falta de uma verificação de permissão no plugin Jenkins Team Foundation Server permite que invasores com permissão Geral/Leitura enumerem os IDs das credenciais armazenadas no Jenkins. Esse problema afeta o endpoint HTTP do plugin, permitindo que invasores obtenham IDs de credenciais que podem ser usados como parte de um ataque para capturar as credenciais por meio de outra vulnerabilidade.
Recomendações
Para as versões 5.157.1 e anteriores do plugin Jenkins Team Foundation Server, como solução temporária, considere restringir o acesso ao endpoint HTTP afetado até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Team Foundation Server Plugin