PT-2022-25769 · Jenkins · Jenkins Cons3Rt Plugin+1
Valdes Che Zogou
·
Publicado
2022-09-21
·
Atualizado
2023-11-01
·
CVE-2022-41253
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins CONS3RT, versões 1.0.0 e anteriores
Descrição
Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) permite que invasores se conectem a um servidor HTTP especificado por eles, utilizando IDs de credenciais obtidas por outro método, capturando credenciais armazenadas no Jenkins. A vulnerabilidade se deve à falta de verificações de permissão nos métodos que implementam a validação de formulários, o que pode ser explorado por invasores com permissão Geral/Leitura. Além disso, os métodos de validação de formulários não exigem solicitações POST, contribuindo para a vulnerabilidade CSRF.
Recomendações
Para as versões 1.0.0 e anteriores do plugin Jenkins CONS3RT, considere desativar os métodos de validação de formulários até que um patch esteja disponível para impedir a exploração. Restrinja o acesso às funcionalidades do plugin para minimizar o risco de captura de credenciais armazenadas no Jenkins. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Cons3Rt Plugin