PT-2022-18303 · Jenkins · Jenkins Release Helper Plugin+1

Publicado

2022-03-15

Atualizado

2023-12-22

CVE-2022-27215

CVSS v3.1

4.3

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Nome do software vulnerável e versões afetadas

Plugin Jenkins Release Helper, versões 1.3.3 e anteriores

Descrição

A ausência de uma verificação de permissão no plugin permite que invasores com permissão “Overall/Read” se conectem a uma URL especificada pelo invasor usando credenciais fornecidas por ele.

Recomendações

Para as versões 1.3.3 e anteriores do Jenkins Release Helper Plugin, atualize para uma versão que inclua a correção para a falta de verificação de permissão.

Como solução temporária, considere restringir o acesso ao plugin para usuários com permissão Geral/Leitura até que um patch esteja disponível.

Correção

Missing Authorization

Improper Preservation of Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862CWE-281

Identificadores relacionados

CVE-2022-27215

GHSA-P9GQ-76FJ-4P4P

Produtos afetados

Jenkins

Jenkins Release Helper Plugin

PT-2022-18303 · Jenkins · Jenkins Release Helper Plugin+1

CVE-2022-27215

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8