PT-2022-18853 · Jenkins · Jenkins Coverage/Complexity Scatter Plot Plugin+1
Jeff Thompson
·
Publicado
2022-03-29
·
Atualizado
2023-11-03
·
CVE-2022-28154
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Coverage/Complexity Scatter Plot, versões 1.1.1 e anteriores
Descrição
A vulnerabilidade permite que invasores controlem arquivos de entrada para a etapa pós-compilação “Public Coverage / Complexity Scatter Plot”, possibilitando que o Jenkins analise um arquivo malicioso que utilize entidades externas. Isso pode levar à extração de segredos do controlador do Jenkins ou à falsificação de solicitações do lado do servidor, devido ao analisador XML não estar configurado para impedir ataques de entidade externa XML (XXE).
Recomendações
Para as versões 1.1.1 e anteriores do plugin Jenkins Coverage/Complexity Scatter Plot, como solução temporária, considere desativar a etapa pós-compilação ‘Public Coverage / Complexity Scatter Plot’ até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Coverage/Complexity Scatter Plot Plugin