PT-2022-22042 · Jenkins · Jenkins
Yaroslav Afenkin
·
Publicado
2022-06-22
·
Atualizado
2024-03-06
·
CVE-2022-34175
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Jenkins 2.335 a 2.355
Descrição
A vulnerabilidade permite que, em alguns casos, invasores contornem um mecanismo de proteção, acessando diretamente fragmentos de visualização que contêm informações confidenciais e ignorando as verificações de permissão na visualização correspondente. Isso ocorre porque a proteção adicionada para uma vulnerabilidade anterior está desativada para algumas visualizações nas versões afetadas. A equipe de segurança do Jenkins não tem conhecimento de nenhum fragmento de visualização vulnerável em todo o ecossistema de plug-ins do Jenkins.
Recomendações
Para as versões 2.335 a 2.355, atualize para a versão 2.356 ou posterior para restaurar a proteção das visualizações afetadas. Como solução temporária, considere restringir o acesso a fragmentos de visualização confidenciais até que o problema seja resolvido.
Correção
Protection Mechanism Failure
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins