PT-2022-18292 · Jenkins · Jenkins Extended Choice Parameter Plugin+1
Oleg Nenashev
·
Publicado
2022-03-15
·
Atualizado
2023-11-30
·
CVE-2022-27205
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Extended Choice Parameter, versões 346.vd87693c5a 86c e anteriores
Descrição
A ausência de verificação de permissão no plugin permite que invasores com permissão Geral/Leitura se conectem a uma URL especificada pelo invasor. Os métodos de validação de formulário não realizam uma verificação de permissão e não exigem solicitações POST, resultando em uma vulnerabilidade de falsificação de solicitação entre sites (CSRF).
Recomendações
Para as versões 346.vd87693c5a 86c e anteriores do Jenkins Extended Choice Parameter Plugin, considere desativar os métodos de validação de formulário até que um patch esteja disponível para impedir que invasores se conectem a uma URL especificada por eles. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Incorrect Default Permissions
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Extended Choice Parameter Plugin