PT-2022-13249 · Jenkins · Jenkins

Publicado

2022-02-09

Atualizado

2024-03-06

CVE-2022-0538

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Nome do software vulnerável e versões afetadas

Versões 2.333 e anteriores do Jenkins

Versões 2.319.2 e anteriores do Jenkins LTS

Descrição

O problema está relacionado a conversores XStream personalizados que não foram atualizados para aplicar as proteções, permitindo o uso irrestrito de recursos.

Recomendações

Para as versões 2.333 e anteriores do Jenkins, atualize para uma versão que aplique as proteções necessárias.

Para as versões 2.319.2 e anteriores do Jenkins LTS, atualize para uma versão que aplique as proteções necessárias.

Como solução alternativa temporária, considere restringir o uso de conversores XStream personalizados até que um patch esteja disponível.

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

BIT-JENKINS-2022-0538

CVE-2022-0538

GHSA-34WX-X2W9-VQM3

Produtos afetados

Jenkins

PT-2022-13249 · Jenkins · Jenkins

CVE-2022-0538

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9