PT-2022-20399 · Jenkins · Jenkins Pipeline: Groovy Plugin+1
Jesse Glick
·
Publicado
2022-05-17
·
Atualizado
2023-12-21
·
CVE-2022-30945
CVSS v3.1
8.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Groovy versões 2689.v434009a 31b f1 e anteriores
Descrição
A vulnerabilidade permite carregar quaisquer arquivos-fonte Groovy no classpath do Jenkins e dos plug-ins do Jenkins em pipelines em sandbox. Isso poderia ser usado para contornar as proteções da sandbox caso um arquivo-fonte Groovy adequado esteja disponível. No entanto, a gravidade dessa vulnerabilidade é considerada Alta devido ao impacto potencial, mas a exploração bem-sucedida é considerada muito improvável. O número estimado de dispositivos potencialmente afetados não foi fornecido.
Recomendações
Para o Jenkins Pipeline: Groovy Plugin versões 2689.v434009a 31b f1 e anteriores, atualize para a versão 2692.v76b 089ccd026 ou posterior, que restringe quais arquivos fonte Groovy podem ser carregados nos pipelines.
Como solução alternativa temporária, considere restringir o acesso aos arquivos fonte Groovy no classpath do Jenkins para minimizar o risco de exploração.
Os plug-ins podem adicionar arquivos fonte Groovy específicos à lista de permissões usando o novo ponto de extensão
org.jenkinsci.plugins.workflow.cps.GroovySourceFileAllowlist, se necessário.Correção
Unrestricted File Upload
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Pipeline: Groovy Plugin