PT-2021-14705 · Xebialabs+1 · Jenkins Xebialabs Xl Deploy Plugin+1
Arnaud Hã©Ritier
·
Publicado
2021-06-10
·
Atualizado
2023-10-25
·
CVE-2021-21662
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins XebiaLabs XL Deploy, versões 10.0.1 e anteriores
Descrição
A ausência de uma verificação de permissão no plugin permite que invasores com permissão Geral/Leitura enumerem os IDs das credenciais armazenadas no Jenkins. Esse problema está relacionado a um método de validação de formulário que não realiza uma verificação de permissão, permitindo que invasores obtenham IDs de credenciais que podem ser usados como parte de um ataque para capturar as credenciais por meio de outra vulnerabilidade.
Recomendações
Para as versões 10.0.1 e anteriores do plugin Jenkins XebiaLabs XL Deploy, considere atualizar para uma versão que inclua as verificações de permissão necessárias para impedir a enumeração de IDs de credenciais. Como solução alternativa temporária, restrinja o acesso ao método de validação de formulários do plugin para minimizar o risco de exploração.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Xebialabs Xl Deploy Plugin