PT-2022-17139 · Jenkins · Jenkins Checkmarx Plugin+1
Oleg Nenashev
·
Publicado
2022-02-15
·
Atualizado
2023-11-03
·
CVE-2022-25200
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Checkmarx versões 2022.1.2 e anteriores
Descrição
Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a um servidor web especificado por eles usando IDs de credenciais fornecidas por eles, capturando credenciais armazenadas no Jenkins. O problema decorre da falta de verificações de permissão em vários pontos de extremidade HTTP, que podem ser explorados por invasores com permissão Geral/Leitura. Esses pontos de extremidade também não exigem solicitações POST, facilitando ainda mais a vulnerabilidade CSRF.
Recomendações
Para as versões 2022.1.2 e anteriores do plugin Checkmarx do Jenkins, considere desativar os endpoints HTTP afetados até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de captura de credenciais armazenadas no Jenkins. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Checkmarx Plugin