CVE-2022-29047

Jenkins Pipeline: Plugin Shared Groovy Libraries, versões 564.ve62a 4eb b e039 e anteriores, exceto a versão 2.21.3

A vulnerabilidade permite que invasores, que possam enviar pull requests, mas não fazer commits diretamente no SCM configurado, alterem o comportamento do Pipeline modificando a definição de uma biblioteca recuperada dinamicamente em seu pull request. Isso é possível mesmo que o Pipeline esteja configurado para não confiar neles. A vulnerabilidade explora a etapa library com um argumento retriever apontando para uma biblioteca no repositório e no branch da compilação atual.

Para o Jenkins Pipeline: Plugin de Bibliotecas Groovy Compartilhadas versões 564.ve62a 4eb b e039 e anteriores, exceto a versão 2.21.3, atualize para uma versão que inclua a correção, como o Pipeline: Plugin de Bibliotecas Groovy Obsoleto 566.vd0a a 3334a 555 ou versão 2.21.3, que interrompe a recuperação da biblioteca se ela for recuperada do mesmo repositório e revisão da compilação atual, e a revisão em compilação não for confiável.

Para a versão 2.21.3, nenhuma ação adicional é necessária, pois ela já inclui a proteção necessária.

Como solução alternativa temporária, considere restringir o uso da etapa library com um argumento retriever para minimizar o risco de exploração.