PT-2021-14719 · Jenkins · Jenkins+1
Matt Sicker
·
Publicado
2021-06-30
·
Atualizado
2023-11-22
·
CVE-2021-21676
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins requests-plugin, versões 2.2.7 e anteriores
Descrição
O problema está relacionado à ausência de uma verificação de permissão em um endpoint HTTP, permitindo que invasores com permissão Geral/Leitura enviem e-mails de teste para um endereço de e-mail especificado pelo invasor. Isso afeta as versões do plugin Jenkins requests-plugin anteriores à versão 2.2.8, que agora exigem permissão Geral/Administração para enviar e-mails de teste.
Recomendações
Para as versões 2.2.7 e anteriores do plugin Jenkins requests-plugin, atualize para a versão 2.2.8 ou posterior, que exige permissão Geral/Administração para enviar e-mails de teste, mitigando o problema.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Requests-Plugin