PT-2022-26889 · Jenkins · Jenkins Pipeline: Deprecated Groovy Libraries Plugin+2
Devin Nusbaum
·
Publicado
2022-10-19
·
Atualizado
2023-11-22
·
CVE-2022-43405
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Groovy Libraries, versões 612.v84da 9c54906d e anteriores
Jenkins Pipeline: Plugin Groovy Libraries (obsoleto), versões 583.vf3b 454e43966 e anteriores
Descrição
Uma falha de contorno da sandbox permite que invasores com permissão definam bibliotecas de Pipeline não confiáveis e definam e executem scripts em sandbox para contornar a proteção da sandbox e executar código arbitrário no contexto da JVM do controlador Jenkins. A etapa
library nos plug-ins afetados pode ser usada para invocar construtores sintéticos gerados pela sandbox em bibliotecas não confiáveis criadas propositalmente e construir qualquer tipo subclassável. Esta vulnerabilidade é semelhante a um aviso de segurança relatado anteriormente, mas afeta um plug-in diferente.Recomendações
Para o Jenkins Pipeline: Groovy Libraries Plugin versões 612.v84da 9c54906d e anteriores, atualize para a versão 613.v9c41a 160233f ou posterior, que rejeita chamadas indevidas a construtores sintéticos gerados pela sandbox ao usar a etapa
library.Para o Jenkins Pipeline: nas versões 583.vf3b 454e43966 e anteriores do plugin Groovy Libraries (obsoleto), atualize para a versão 588.v576c103a ff86 ou posterior, que não contém mais a etapa
library.Como solução alternativa temporária, considere restringir o uso da etapa
library em Pipelines em sandbox para minimizar o risco de exploração.Correção
Protection Mechanism Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Pipeline: Deprecated Groovy Libraries Plugin
Jenkins Pipeline: Shared Groovy Libraries Plugin