PT-2022-14821 · Jenkins · Jenkins

Publicado

2022-01-12

·

Atualizado

2024-03-06

·

CVE-2022-20612

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões 2.329 e anteriores do Jenkins
Versões LTS 2.319.1 e anteriores do Jenkins
Descrição
Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores acionem a compilação de uma tarefa sem parâmetros quando nenhum domínio de segurança está definido. Esse problema ocorre porque o endpoint HTTP que lida com solicitações de compilação manual não exige solicitações POST quando nenhum domínio de segurança está definido, permitindo que invasores explorem essa falha.
Recomendações
Para as versões 2.329 e anteriores do Jenkins, atualize para a versão 2.330 ou posterior para resolver o problema.
Para as versões 2.319.1 e anteriores do Jenkins LTS, atualize para a versão 2.319.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere definir um domínio de segurança para exigir solicitações POST para o endpoint HTTP afetado, minimizando assim o risco de exploração.

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

BIT-JENKINS-2022-20612
CVE-2022-20612
GHSA-P92Q-7FHH-MQ35
RHSA-2022:0339
RHSA-2022:0483
RHSA-2022:0491
RHSA-2022:0555
RHSA-2022:0565

Produtos afetados

Jenkins