PT-2022-17124 · Jenkins · Jenkins Pipeline: Build Step Plugin+1

Publicado

2022-02-15

·

Atualizado

2023-11-03

·

CVE-2022-25184

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Build Step Plugin, versões 2.15 e anteriores
Descrição
A vulnerabilidade permite que invasores com permissão de Item/Leitura recuperem o valor padrão do parâmetro de senha de tarefas ao gerar um script de pipeline usando o Pipeline Snippet Generator. Isso ocorre porque os valores padrão dos parâmetros de senha são revelados.
Recomendações
Para o Jenkins Pipeline: Build Step Plugin versões 2.15 e anteriores, considere restringir o acesso ao Pipeline Snippet Generator para minimizar o risco de exploração. Como solução alternativa temporária, limite a permissão Item/Read para reduzir o número de possíveis invasores.

Correção

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-522

Identificadores relacionados

CVE-2022-25184
GHSA-G84F-CMC8-682C
RHSA-2022:0871
RHSA-2022:1021
RHSA-2022:1025
RHSA-2022:1248
RHSA-2022:1420
RHSA-2022:1620

Produtos afetados

Jenkins
Jenkins Pipeline: Build Step Plugin