PT-2022-1412 · Jenkins · Jenkins Docker Commons Plugin+1
Tomasz Szuba
·
Publicado
2022-01-12
·
Atualizado
2023-11-22
·
CVE-2022-20617
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Docker Commons, versões 1.17 e anteriores
Descrição
O problema está relacionado ao fato de o Jenkins Docker Commons Plugin não sanitizar o nome de uma imagem ou tag, resultando em uma vulnerabilidade de execução de comando do sistema operacional. Isso pode ser explorado por invasores com permissão Item/Configure ou aqueles capazes de controlar o conteúdo do repositório SCM de uma tarefa previamente configurada, permitindo-lhes executar comandos arbitrários.
Recomendações
Para as versões 1.17 e anteriores do Jenkins Docker Commons Plugin, atualize para uma versão posterior à 1.17 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso às funcionalidades do plugin para minimizar o risco de exploração.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Docker Commons Plugin