PT-2022-20408 · Jenkins · Jenkins Blue Ocean Plugin+1

Tanner Emek

·

Publicado

2022-05-17

·

Atualizado

2023-11-03

·

CVE-2022-30953

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Plugin Jenkins Blue Ocean, versões 1.25.3 e anteriores
Descrição
Uma vulnerabilidade do tipo falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a um servidor HTTP especificado por eles. A vulnerabilidade pode ser explorada fazendo com que o navegador da vítima envie uma solicitação não intencional aos pontos de extremidade HTTP afetados. Na versão corrigida, o Blue Ocean Plugin 1.25.4, a vulnerabilidade é mitigada exigindo solicitações POST e as permissões apropriadas para os pontos de extremidade HTTP afetados.
Recomendações
Para as versões 1.25.3 e anteriores do Jenkins Blue Ocean Plugin, atualize para a versão 1.25.4 ou posterior, que exige solicitações POST e as permissões apropriadas para os pontos de extremidade HTTP afetados, mitigando assim o problema de CSRF.

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

CVE-2022-30953
GHSA-HGPQ-42PF-9VFQ
RHSA-2023:0017
RHSA-2023:0560
RHSA-2023:0777
RHSA-2023:3198
RHSA-2023:3610
RHSA-2023:3622

Produtos afetados

Jenkins
Jenkins Blue Ocean Plugin