PT-2022-26892 · Jenkins · Jenkins Pipeline: Stage View Plugin+1
Daniel Beck
+2
·
Publicado
2022-10-19
·
Atualizado
2023-11-01
·
CVE-2022-43408
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Stage View, versões 2.26 e anteriores
Descrição
O problema decorre da codificação incorreta do ID das etapas
input ao gerar URLs para prosseguir ou abortar compilações do Pipeline, permitindo que invasores capazes de configurar Pipelines especifiquem IDs de etapas input. Isso resulta em URLs que podem contornar a proteção CSRF de qualquer URL de destino no Jenkins.Recomendações
Para o Jenkins Pipeline: Stage View Plugin versões 2.26 e anteriores, atualize para a versão 2.27 ou posterior para codificar corretamente o ID das etapas
input e impedir que a proteção CSRF seja contornada.Como solução alternativa temporária, considere restringir o acesso à funcionalidade da etapa
input até que a atualização seja aplicada.Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Pipeline: Stage View Plugin