PT-2022-26886 · Jenkins · Jenkins Pipeline: Groovy Plugin+1

Daniel Beck

Publicado

2022-10-19

Atualizado

2023-11-22

CVE-2022-43402

CVSS v3.1

9.9

Crítica

Vetor

AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Jenkins Pipeline: Plugin Groovy versões 2802.v5ea 628154b c2 e anteriores

Descrição

Uma falha de contorno da sandbox envolve conversões implícitas pelo tempo de execução da linguagem Groovy, permitindo que invasores com permissão para definir e executar scripts em sandbox contornem a proteção da sandbox e executem código arbitrário no contexto da JVM do controlador Jenkins.

Recomendações

Para as versões 2802.v5ea 628154b c2 e anteriores, atualize para uma versão que intercepte as conversões de tipo Groovy realizadas implicitamente pelo tempo de execução da linguagem Groovy, como a versão 2803.v1a f77ffcc773 ou posterior.

Correção

Protection Mechanism Failure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-693

Identificadores relacionados

CVE-2022-43402

GHSA-MQC2-W9R8-MMXM

RHSA-2023:0560

RHSA-2023:0777

RHSA-2023:1064

RHSA-2023:3198

Produtos afetados

Jenkins

Jenkins Pipeline: Groovy Plugin

PT-2022-26886 · Jenkins · Jenkins Pipeline: Groovy Plugin+1

CVE-2022-43402

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6