PT-2022-20429 · Jenkins · Jenkins Storable Configs Plugin+1
Daniel Beck
·
Publicado
2022-05-17
·
Atualizado
2023-11-03
·
CVE-2022-30972
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Storable Configs, versões 1.0 e anteriores
Descrição
Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores façam com que o Jenkins analise um arquivo XML local, como artefatos arquivados, que utiliza entidades externas para extrair segredos do controlador do Jenkins ou para falsificação de solicitação no lado do servidor.
Recomendações
Para o Jenkins Storable Configs Plugin versões 1.0 e anteriores, atualize para uma versão posterior à 1.0 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso a arquivos XML locais que utilizam entidades externas para minimizar o risco de exploração.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Storable Configs Plugin