PT-2022-17123 · Jenkins · Jenkins Pipeline: Shared Groovy Libraries Plugin+1

Publicado

2022-02-15

·

Atualizado

2023-12-21

·

CVE-2022-25183

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Shared Groovy Libraries, versões 552.vd9cc05b8a2e1 e anteriores
Descrição
A vulnerabilidade permite que invasores com permissão Item/Configure executem código arbitrário no contexto da JVM do controlador Jenkins usando nomes de bibliotecas especialmente criados, caso já exista uma biblioteca global do Pipeline configurada para usar cache. Isso ocorre porque os nomes das bibliotecas do Pipeline são usados para criar diretórios de cache sem qualquer sanitização.
Recomendações
Para o plugin Jenkins Pipeline: Shared Groovy Libraries nas versões 552.vd9cc05b8a2e1 e anteriores, atualize para uma versão que sanitize os nomes das bibliotecas do Pipeline ao criar diretórios de cache de bibliotecas, como a versão 561.va ce0de3c2d69 ou posterior. Como solução alternativa temporária, considere restringir o acesso aos diretórios de cache ou desativar o recurso de cache para bibliotecas globais do Pipeline até que um patch seja aplicado.

Correção

Protection Mechanism Failure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-693

Identificadores relacionados

CVE-2022-25183
GHSA-PFWP-Q984-W7WH
RHSA-2022:0871
RHSA-2022:1021
RHSA-2022:1025
RHSA-2022:1248
RHSA-2022:1420
RHSA-2022:1620

Produtos afetados

Jenkins
Jenkins Pipeline: Shared Groovy Libraries Plugin