PT-2022-14829 · Jenkins · Jenkins Ssh Agent Plugin+1
Publicado
2022-01-12
·
Atualizado
2023-11-30
·
CVE-2022-20620
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins SSH Agent, versões 1.23 e anteriores
Plugin Jenkins SSH Agent, versões anteriores à 1.23.2 e à 1.22.1
Descrição
O problema está relacionado à falta de verificações de permissão no Jenkins SSH Agent Plugin, o que permite que invasores com acesso geral/de leitura enumerem os IDs das credenciais armazenadas no Jenkins. Esses IDs de credenciais podem ser usados como parte de um ataque para capturar as credenciais utilizando outra vulnerabilidade.
Recomendações
Para as versões 1.23 e anteriores do plugin Jenkins SSH Agent, atualize para a versão 1.23.2 ou posterior.
Para as versões anteriores à 1.22.1 do plugin Jenkins SSH Agent, atualize para a versão 1.22.1 ou posterior.
Como solução alternativa temporária, considere restringir o acesso aos endpoints HTTP do plugin para minimizar o risco de exploração.
Exploit
Correção
Missing Authorization
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Ssh Agent Plugin