PT-2022-18296 · Jenkins · Jenkins Kubernetes Continuous Deploy Plugin+1
Kevin Guerroudj
·
Publicado
2022-03-15
·
Atualizado
2023-12-22
·
CVE-2022-27209
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Kubernetes Continuous Deploy, versões 2.3.1 e anteriores
Descrição
A ausência de uma verificação de permissão no plugin permite que invasores com permissão Geral/Leitura enumerem os IDs das credenciais armazenadas no Jenkins. Esse problema afeta vários pontos de extremidade HTTP, que não realizam verificações de permissão. Os IDs das credenciais enumerados podem ser usados como parte de um ataque para capturar as credenciais utilizando outra vulnerabilidade.
Recomendações
Para as versões 2.3.1 e anteriores do Jenkins Kubernetes Continuous Deploy Plugin, considere desativar o plugin até que um patch esteja disponível para impedir que invasores enumerem IDs de credenciais. Restrinja o acesso aos endpoints HTTP afetados para minimizar o risco de exploração. Evite usar o plugin com permissão Geral/Leitura para reduzir a superfície de ataque. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Kubernetes Continuous Deploy Plugin