PT-2021-14690 · Cloudbees+1 · Jenkins Cloudbees Cd Plugin+1
Devin Nusbaum
·
Publicado
2021-04-21
·
Atualizado
2023-10-25
·
CVE-2021-21647
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins CloudBees CD, versões 1.1.21 e anteriores
Descrição
O problema diz respeito à ausência de verificação de permissões em um endpoint HTTP, permitindo que invasores com permissão Item/Read agendem compilações de projetos sem possuir permissão Item/Build. Isso afeta o agendamento de compilações por meio do endpoint HTTP, que requer permissão Item/Build.
Recomendações
Para as versões 1.1.21 e anteriores do Jenkins CloudBees CD Plugin, considere restringir o acesso ao endpoint HTTP para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, certifique-se de que apenas usuários com permissão Item/Build possam agendar compilações de projetos.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Cloudbees Cd Plugin