PT-2022-17122 · Jenkins · Jenkins Pipeline: Shared Groovy Libraries Plugin+2
Daniel Beck
·
Publicado
2022-02-15
·
Atualizado
2023-11-30
·
CVE-2022-25182
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Shared Groovy Libraries, versões 552.vd9cc05b8a2e1 e anteriores
Jenkins Pipeline: Plugin Deprecated Groovy Libraries, versões 552.vd9cc05b8a2e1 e anteriores
Descrição
Uma falha de contorno da sandbox permite que invasores com permissão Item/Configure executem código arbitrário na JVM do controlador Jenkins usando nomes de bibliotecas especialmente criados, caso uma biblioteca global do Pipeline já esteja configurada. A vulnerabilidade decorre do uso de nomes de bibliotecas do Pipeline para criar diretórios sem a devida canonização ou sanitização.
Recomendações
Para o Jenkins Pipeline: Plugin de Bibliotecas Groovy Compartilhadas versões 552.vd9cc05b8a2e1 e anteriores, atualize para uma versão posterior à 552.vd9cc05b8a2e1.
Para o Jenkins Pipeline: Plugin de Bibliotecas Groovy Obsoletas nas versões 552.vd9cc05b8a2e1 e anteriores, atualize para a versão 561.va ce0de3c2d69 ou posterior, que sanitiza os nomes das bibliotecas do Pipeline ao criar diretórios de bibliotecas.
Correção
Protection Mechanism Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Pipeline: Deprecated Groovy Libraries Plugin
Jenkins Pipeline: Shared Groovy Libraries Plugin