PT-2022-18837 · Jenkins · Jenkins Rocketchat Notifier Plugin+1
Marc Heyries
·
Publicado
2022-03-29
·
Atualizado
2023-11-17
·
CVE-2022-28139
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins RocketChat Notifier, versões 1.4.10 e anteriores
Descrição
A ausência de uma verificação de permissão no plugin Jenkins RocketChat Notifier permite que invasores com permissão “Overall/Read” se conectem a uma URL especificada pelo invasor usando credenciais fornecidas por ele. Esse problema também resulta em uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) devido à falta de exigência de solicitações POST no método de validação de formulário.
Recomendações
Para as versões 1.4.10 e anteriores do plugin Jenkins RocketChat Notifier, atualize para a versão 1.5.0 ou posterior, que exige solicitações POST e permissão Geral/Administrar para o método de validação de formulário afetado, mitigando assim o problema.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Rocketchat Notifier Plugin