PT-2022-25752 · Jenkins · Jenkins Dotci Plugin+1
Publicado
2022-09-21
·
Atualizado
2025-05-28
·
CVE-2022-41237
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins DotCi, versões 2.40.00 e anteriores
Descrição
O problema decorre do fato de o plugin Jenkins DotCi não configurar seu analisador YAML para impedir a instanciação de tipos arbitrários, resultando em uma vulnerabilidade de execução remota de código. Essa vulnerabilidade pode ser explorada por invasores capazes de modificar arquivos
.ci.yml no SCM.Recomendações
Para as versões 2.40.00 e anteriores do plugin Jenkins DotCi, considere desativar o plugin até que um patch esteja disponível para impedir a execução remota de código. Restrinja o acesso para modificar arquivos
.ci.yml no SCM para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Dotci Plugin