PT-2022-22083 · Jenkins · Jenkins Vrealize Orchestrator Plugin+1
Publicado
2022-06-22
·
Atualizado
2023-11-03
·
CVE-2022-34212
CVSS v3.1
5.7
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins vRealize Orchestrator, versões 3.0 e anteriores
Descrição
A ausência de uma verificação de permissão no plugin permite que invasores com permissão Geral/Leitura enviem uma solicitação HTTP POST para uma URL especificada pelo invasor, como “/api/v1/sendRequest”. A variável
url pode ser controlada pelo invasor, levando potencialmente a ações não autorizadas.Recomendações
Para as versões 3.0 e anteriores do plugin Jenkins vRealize Orchestrator, considere desativar o plugin até que um patch esteja disponível para impedir que invasores enviem solicitações HTTP POST não autorizadas. Restrinja o acesso à permissão Geral/Leitura para minimizar o risco de exploração. Evite usar a variável
url nos pontos de extremidade da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Vrealize Orchestrator Plugin