PT-2022-22049 · Jenkins · Jenkins Junit Plugin+1
Daniel Beck
·
Publicado
2022-06-22
·
Atualizado
2023-11-03
·
CVE-2022-34181
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins xUnit, versões 3.0.8 e anteriores
Descrição
A vulnerabilidade permite que invasores capazes de controlar processos de agente criem um diretório arbitrário no controlador do Jenkins ou obtenham resultados de testes a partir de arquivos existentes em um diretório especificado pelo invasor. Isso ocorre devido à implementação de uma mensagem de agente para controlador que cria um diretório especificado pelo usuário, caso ele não exista, e analisa os arquivos dentro dele como resultados de testes.
Recomendações
Para as versões 3.0.8 e anteriores do plugin Jenkins xUnit, atualize para a versão 3.1.0 ou posterior, que altera o tipo de mensagem de agente para controlador para controlador para agente, impedindo a execução no controlador.
Correção
Protection Mechanism Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Junit Plugin