PT-2021-14715 · Jenkins · Jenkins Selenium Html Report Plugin+1
Justin Philip
+2
·
Publicado
2021-06-30
·
Atualizado
2023-10-25
·
CVE-2021-21672
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Selenium HTML Report, versões 1.0 e anteriores
Descrição
O problema decorre do fato de o plugin não configurar seu analisador XML para impedir ataques de entidade externa XML (XXE), permitindo que invasores capazes de controlar os arquivos de relatório analisados por este plugin criem um arquivo de relatório que utilize entidades externas. Isso pode levar à extração de segredos do controlador do Jenkins ou à falsificação de solicitações do lado do servidor.
Recomendações
Para o plugin Jenkins Selenium HTML Report nas versões 1.0 e anteriores, atualize para a versão 1.1 ou posterior, que desativa a resolução de entidades externas para seu analisador XML.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Selenium Html Report Plugin