PT-2022-17115 · Jenkins · Jenkins Pipeline: Groovy Plugin+1
Publicado
2022-02-15
·
Atualizado
2023-11-30
·
CVE-2022-25176
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Groovy, versões 2648.va9433432b33c e anteriores
Descrição
A vulnerabilidade permite que invasores capazes de configurar Pipelines leiam arquivos arbitrários no sistema de arquivos do controlador Jenkins. Isso ocorre porque o plugin segue links simbólicos para locais fora do diretório de checkout do SCM configurado ao ler o arquivo de script, normalmente o Jenkinsfile, para Pipelines.
Recomendações
Para as versões 2648.va9433432b33c e anteriores, considere restringir o acesso ao sistema de arquivos do controlador Jenkins para minimizar o risco de exploração. Como solução temporária, limite a capacidade de configurar Pipelines apenas a usuários confiáveis até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Pipeline: Groovy Plugin