PT-2022-22362 · Jenkins · Jenkins Rqm Plugin+1
S0Nnguy3N
+1
·
Publicado
2022-06-30
·
Atualizado
2023-11-22
·
CVE-2022-34810
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins RQM versões 2.8 e anteriores
Descrição
Uma falha na verificação do plugin Jenkins RQM permite que invasores com permissão Overall/Read enumerem os IDs das credenciais armazenadas no Jenkins. Isso pode ser feito por meio de um endpoint HTTP que não realiza uma verificação de permissão, permitindo potencialmente que invasores utilizem os IDs de credenciais enumerados como parte de um ataque para capturar as credenciais usando outra vulnerabilidade.
Recomendações
Para as versões 2.8 e anteriores do plugin Jenkins RQM, considere desativar o endpoint HTTP afetado até que um patch esteja disponível. Restrinja o acesso ao plugin para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Rqm Plugin