CVE-2021-21697

Versões 2.318 e anteriores do Jenkins; versões LTS 2.303.2 e anteriores

O problema está relacionado ao uso de uma lista negra incompleta no Jenkins, permitindo que qualquer agente leia e grave o conteúdo de qualquer diretório de compilação armazenado no Jenkins com pouquíssimas restrições. Isso pode ser explorado por um invasor remoto para acessar informações relacionadas à compilação. A vulnerabilidade afeta os diretórios que armazenam informações relacionadas à compilação, incluindo build.xml e alguns metadados relacionados ao Pipeline.

Para as versões 2.318 e anteriores do Jenkins, e as versões LTS 2.303.2 e anteriores, atualize para o Jenkins 2.319 e LTS 2.303.3 para impedir que os agentes acessem o conteúdo dos diretórios de compilação, a menos que seja para compilações atualmente em execução no agente que está tentando acessar o diretório.

Como alternativa, instale o plugin Remoting Security Workaround para impedir todo o acesso a arquivos do agente para o controlador usando APIs FilePath, mas esteja ciente de que isso pode ser mais restritivo e incompatível com alguns plugins.

Além disso, atualize o plugin Pipeline: Nodes and Processes para a versão 2.40 ou mais recente para associar blocos node do Pipeline ao agente no qual eles estão sendo executados.