PT-2022-22048 · Jenkins · Jenkins Embeddable Build Status Plugin+1
Publicado
2022-06-22
·
Atualizado
2023-11-03
·
CVE-2022-34180
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Embeddable Build Status, versões 2.0.3 e anteriores
Descrição
O problema diz respeito ao funcionamento incorreto da verificação de permissão ViewStatus no endpoint HTTP fornecido para o acesso ao ícone de status “desprotegido”. Isso permite que invasores sem nenhuma permissão obtenham o ícone de status da compilação para qualquer tarefa e/ou compilação especificada pelo invasor.
Recomendações
Para o Jenkins Embeddable Build Status Plugin versões 2.0.3 e anteriores, atualize para a versão 2.0.4 ou posterior, que exige a permissão ViewStatus para obter o ícone do selo de status da compilação. Como solução alternativa temporária, considere restringir o acesso ao endpoint HTTP para acesso ao selo de status “desprotegido” até que um patch esteja disponível.
Correção
Incorrect Authorization
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Embeddable Build Status Plugin