PT-2021-5386 · Jenkins · Jenkins

Daniel Beck

Publicado

2021-11-04

Atualizado

2024-03-06

CVE-2021-21691

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões 2.318 e anteriores do Jenkins

Versões LTS 2.303.2 e anteriores do Jenkins

Descrição

O problema está relacionado a uma falha no mecanismo de autorização do Jenkins, permitindo a criação de links simbólicos sem a permissão de controle de acesso necessária do agente para o controlador ‘symlink’. Isso poderia permitir que um invasor remoto comprometesse a confidencialidade, integridade e disponibilidade de informações protegidas.

Recomendações

Para as versões 2.318 e anteriores do Jenkins, atualize para uma versão que inclua a correção para este problema.

Para as versões LTS do Jenkins 2.303.2 e anteriores, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere restringir o acesso à funcionalidade symlink até que um patch esteja disponível.

Correção

Incorrect Authorization

Link Following

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-59

Identificadores relacionados

BDU:2021-06223

BIT-JENKINS-2021-21691

CVE-2021-21691

GHSA-2C79-H2H5-G3FW

RHSA-2021:4799

RHSA-2021:4801

RHSA-2021:4827

RHSA-2021:4829

RHSA-2021:4833

Produtos afetados

Jenkins

PT-2021-5386 · Jenkins · Jenkins

CVE-2021-21691

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 11