PT-2022-18854 · Jenkins · Jenkins Pipeline: Phoenix Autotest Plugin+1
Jeff Thompson
·
Publicado
2022-03-29
·
Atualizado
2023-11-03
·
CVE-2022-28155
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Phoenix AutoTest, versões 1.3 e anteriores
Descrição
O problema está relacionado ao fato de o Phoenix AutoTest Plugin não configurar seu analisador XML para impedir ataques de entidade externa XML (XXE). Isso permite que invasores capazes de controlar os arquivos de entrada para a etapa de compilação
readXml ou writeXml façam com que o Jenkins analise um arquivo malicioso que utiliza entidades externas para extrair segredos do controlador do Jenkins ou para falsificação de solicitações do lado do servidor.Recomendações
Para o Jenkins Pipeline: Phoenix AutoTest Plugin versões 1.3 e anteriores, considere desativar as etapas de compilação
readXml e writeXml até que um patch esteja disponível para prevenir ataques de entidade externa XML. Restrinja o acesso a essas etapas de compilação para minimizar o risco de exploração.Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Pipeline: Phoenix Autotest Plugin