CVE-2022-25201

Plugin Jenkins Checkmarx versões 2022.1.2 e anteriores

O problema está relacionado à falta de verificações de permissão no plugin Jenkins Checkmarx, permitindo que invasores com permissão Geral/Leitura se conectem a um servidor web especificado pelo invasor usando IDs de credenciais obtidas por outro método. Isso possibilita a captura de credenciais armazenadas no Jenkins. A vulnerabilidade afeta o tratamento de endpoints HTTP pelo plugin, onde as verificações de permissão não são realizadas adequadamente.

Para as versões 2022.1.2 e anteriores do plugin Jenkins Checkmarx, considere desativar o plugin até que um patch esteja disponível para impedir que invasores explorem a falta de verificações de permissão. Restrinja o acesso aos pontos de extremidade HTTP do plugin para minimizar o risco de captura de credenciais. Evite usar o plugin com permissão Geral/Leitura para reduzir a superfície de ataque. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.