PT-2022-26885 · Jenkins · Jenkins Script Security Plugin+1
Daniel Beck
+1
·
Publicado
2022-10-19
·
Atualizado
2023-11-22
·
CVE-2022-43401
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin de segurança de scripts do Jenkins, versões 1183.v774b 0b 0a a 451 e anteriores
Descrição
Uma falha de contorno da sandbox envolvendo conversões implícitas pelo tempo de execução da linguagem Groovy permite que invasores com permissão para definir e executar scripts em sandbox contornem a proteção da sandbox e executem código arbitrário no contexto da JVM do controlador Jenkins. Isso afeta scripts, incluindo Pipelines.
Recomendações
Para as versões 1183.v774b 0b 0a a 451 e anteriores, atualize para uma versão que corrija a vulnerabilidade de contorno da sandbox para impedir que invasores executem código arbitrário no contexto da JVM do controlador Jenkins.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Protection Mechanism Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Script Security Plugin