PT-2021-5581 · Jenkins · Jenkins

Daniel Beck

Publicado

2021-11-04

Atualizado

2024-03-06

CVE-2021-21692

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões 2.318 e anteriores do Jenkins

Versões LTS 2.303.2 e anteriores do Jenkins

Descrição

O problema está relacionado a uma falha no mecanismo de autorização do servidor de automação Jenkins. Essa falha permite que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas. As funções FilePath#renameTo e FilePath#moveAllChildrenTo no Jenkins verificam apenas a permissão de acesso “leitura” do agente para o controlador no caminho de origem, em vez de “exclusão”.

Recomendações

Para as versões 2.318 e anteriores do Jenkins, atualize para uma versão que inclua a correção para este problema.

Para as versões LTS 2.303.2 e anteriores do Jenkins, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere restringir o acesso às funções FilePath#renameTo e FilePath#moveAllChildrenTo até que um patch esteja disponível.

Correção

Path traversal

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22CWE-863

Identificadores relacionados

BDU:2022-00011

BIT-JENKINS-2021-21692

CVE-2021-21692

GHSA-8XG4-XQ2V-V6J7

RHSA-2021:4799

RHSA-2021:4801

RHSA-2021:4827

RHSA-2021:4829

RHSA-2021:4833

Produtos afetados

Jenkins

PT-2021-5581 · Jenkins · Jenkins

CVE-2021-21692

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 13