PT-2022-22370 · Jenkins · Jenkins Failed Job Deactivator Plugin+1
Publicado
2022-06-30
·
Atualizado
2023-11-22
·
CVE-2022-34818
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Failed Job Deactivator, versões 1.2.1 e anteriores
Descrição
O problema diz respeito à ausência de verificações de permissão em várias visualizações e pontos de extremidade HTTP, permitindo que invasores com permissão Geral/Leitura desativem tarefas. Além disso, os pontos de extremidade estão vulneráveis a falsificação de solicitações entre sites (CSRF), uma vez que não exigem solicitações POST.
Recomendações
Para o plugin Jenkins Failed Job Deactivator nas versões 1.2.1 e anteriores, como solução temporária, considere restringir o acesso aos pontos de extremidade HTTP vulneráveis até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Failed Job Deactivator Plugin