CVE-2022-30950

Plugin Jenkins WMI Windows Agents, versões 1.8 e anteriores

O problema está relacionado a uma vulnerabilidade de estouro de buffer na biblioteca Windows Remote Command incluída no plugin Jenkins WMI Windows Agents. Essa vulnerabilidade pode permitir que usuários capazes de se conectar a um canal nomeado executem comandos na máquina do agente Windows. A biblioteca fornece um recurso de execução remota de comandos usado pelo Jenkins para verificar e instalar o Java caso ele não esteja disponível. Além disso, a biblioteca carece de controle de acesso, permitindo potencialmente que usuários iniciem processos mesmo que não tenham permissão para fazer login.

Para as versões 1.8 e anteriores do plugin Jenkins WMI Windows Agents, atualize para a versão 1.8.1 ou posterior, que não inclui mais a biblioteca Windows Remote Command vulnerável. Observe que a versão 1.8.1 requer que um runtime Java esteja disponível nas máquinas dos agentes e não instala um JDK automaticamente caso ele esteja ausente.