PT-2021-14683 · Jenkins · Jenkins
Jeff Thompson
·
Publicado
2021-04-07
·
Atualizado
2024-03-06
·
CVE-2021-21640
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 2.286 e anteriores do Jenkins
Versões LTS 2.277.1 e anteriores do Jenkins
Descrição
O problema decorre da validação inadequada de nomes de visualizações recém-criadas, permitindo que invasores com permissão de Visualizar/Criar criem visualizações com nomes inválidos ou já utilizados. Isso ocorre porque, quando um formulário para criar uma visualização é enviado, o nome é incluído duas vezes: uma instância é validada e a outra é usada para a criação da visualização. Essa discrepância permite a criação de visualizações com nomes que deveriam ser restritos.
Recomendações
Para as versões 2.286 e anteriores do Jenkins, atualize para a versão 2.287 ou posterior para resolver o problema.
Para as versões 2.277.1 e anteriores do Jenkins LTS, atualize para a versão 2.277.2 ou posterior para resolver o problema.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins