CVE-2022-34794

Plugin Jenkins Recipe, versões 1.2 e anteriores

O problema está relacionado à ausência de verificações de permissão no plugin Jenkins Recipe, permitindo que invasores com permissão de Acesso Geral/Leitura enviem uma solicitação HTTP para uma URL especificada pelo invasor e analisem a resposta como XML. Além disso, o plugin permite que os usuários exportem a configuração completa das tarefas como parte de uma receita, concedendo acesso aos dados XML de configuração das tarefas a todos os usuários com permissão Item/Read. Os valores criptografados dos segredos armazenados na configuração da tarefa não são ocultados, como seria feito pela API config.xml para usuários sem permissão Item/Configure.

Para as versões 1.2 e anteriores do Jenkins Recipe Plugin, considere desativar o plugin até que um patch esteja disponível para impedir que invasores enviem solicitações HTTP para URLs especificadas por eles. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de exploração, especialmente para usuários com permissões Overall/Read ou Item/Read. Evite usar o plugin para exportar configurações de tarefas até que o problema seja resolvido, a fim de impedir o acesso não autorizado a dados confidenciais.