PT-2022-17150 · Jenkins · Jenkins Swamp Plugin+1
Wadeck Follonier
·
Publicado
2022-02-15
·
Atualizado
2023-11-22
·
CVE-2022-25211
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins SWAMP, versões 1.2.6 e anteriores
Descrição
A ausência de uma verificação de permissão no plugin Jenkins SWAMP permite que invasores com permissão Geral/Leitura se conectem a um servidor web especificado pelo invasor usando credenciais fornecidas por ele. Essa vulnerabilidade permite que invasores capturem credenciais armazenadas no Jenkins ao se conectarem a uma URL especificada pelo invasor usando IDs de credenciais obtidas por outro método.
Recomendações
Para as versões 1.2.6 e anteriores do plugin Jenkins SWAMP, considere desativar o plugin até que um patch esteja disponível para impedir que invasores explorem a falta de verificação de permissão.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Swamp Plugin