PT-2022-27483 · Jenkins+1 · Jenkins Pipeline Utility Steps Plugin+2
James Nord
·
Publicado
2022-11-15
·
Atualizado
2023-11-22
·
CVE-2022-45381
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Pipeline Utility Steps, versões 2.13.1 e anteriores
Descrição
A vulnerabilidade permite que invasores capazes de configurar pipelines leiam arquivos arbitrários do sistema de arquivos do controlador do Jenkins. Isso se deve à falta de restrição no conjunto de interpoladores de prefixo habilitados e à inclusão de versões da biblioteca Apache Commons Configuration que habilitam o interpolador de prefixo
file: por padrão.Recomendações
Para o Jenkins Pipeline Utility Steps Plugin versões 2.13.1 e anteriores, atualize para a versão 2.13.2 ou posterior, que restringe o conjunto de interpoladores de prefixo habilitados por padrão.
Como solução alternativa temporária, considere definir a propriedade do sistema Java
org.jenkinsci.plugins.pipeline.utility.steps.conf.ReadPropertiesStepExecution.CUSTOM PREFIX INTERPOLATOR LOOKUPS para personalizar quais interpoladores de prefixo estão habilitados, excluindo o interpolador de prefixo file:.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Commons Configuration
Jenkins
Jenkins Pipeline Utility Steps Plugin