PT-2022-18291 · Jenkins · Jenkins Extended Choice Parameter Plugin+1
Oleg Nenashev
·
Publicado
2022-03-15
·
Atualizado
2023-11-30
·
CVE-2022-27204
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Extended Choice Parameter, versões 346.vd87693c5a 86c e anteriores
Descrição
Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a uma URL especificada por eles. O problema surge porque o plugin não realiza uma verificação de permissão nos métodos de validação de formulários, permitindo que invasores com permissão Geral/Leitura explorem essa falha. Além disso, esses métodos de validação de formulários não exigem solicitações POST, resultando na vulnerabilidade.
Recomendações
Para as versões 346.vd87693c5a 86c e anteriores, considere desativar os métodos de validação de formulários até que um patch esteja disponível para impedir a exploração.
Restrinja o acesso ao plugin para minimizar o risco de exploração, especialmente para usuários com permissão Geral/Leitura.
Evite usar o plugin para operações confidenciais até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Extended Choice Parameter Plugin