PT-2022-22078 · Jenkins · Jenkins Beaker Builder Plugin+1
Justin Philip
·
Publicado
2022-06-22
·
Atualizado
2023-11-03
·
CVE-2022-34208
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Beaker Builder, versões 1.10 e anteriores
Descrição
A ausência de uma verificação de permissão no plugin Jenkins Beaker Builder permite que invasores com permissão “Overall/Read” se conectem a uma URL especificada pelo invasor. Esse problema também resulta em uma vulnerabilidade de falsificação de solicitação entre sites (CSRF), pois o método de validação de formulário não exige solicitações POST.
Recomendações
Para as versões 1.10 e anteriores do plugin Jenkins Beaker Builder, como solução temporária, considere restringir o acesso ao método de validação de formulários do plugin até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Beaker Builder Plugin