PT-2021-14712 · Jenkins · Jenkins Generic Webhook Trigger Plugin+1
Justin Philip
+2
·
Publicado
2021-06-18
·
Atualizado
2023-10-25
·
CVE-2021-21669
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Generic Webhook Trigger, versões 1.72 e anteriores
Descrição
A vulnerabilidade permite que invasores façam com que o Jenkins analise um corpo de solicitação XML malicioso que utiliza entidades externas para extrair segredos do controlador do Jenkins ou para falsificação de solicitações no lado do servidor. Isso ocorre porque o analisador XML não está configurado para impedir ataques de entidade externa XML (XXE). Invasores com a capacidade de chamar webhooks configurados para extrair parâmetros usando XPath podem explorar essa vulnerabilidade.
Recomendações
Para o Jenkins Generic Webhook Trigger Plugin versões 1.72 e anteriores, atualize para a versão 1.74 ou posterior, que desativa a resolução de entidades externas para seu analisador XML.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Generic Webhook Trigger Plugin