PT-2022-27485 · Jenkins · Jenkins Support Core Plugin+1
Adrien Lecharpentier
·
Publicado
2022-11-15
·
Atualizado
2025-04-30
·
CVE-2022-45383
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Support Core, versões 1206.v14049fa b d860 e anteriores
Descrição
Existe uma vulnerabilidade devido a uma verificação incorreta de permissões, permitindo que invasores com a permissão
Support/DownloadBundle baixem pacotes de suporte criados anteriormente contendo informações restritas a usuários com a permissão Overall/Administer. Isso afeta vários pontos de extremidade HTTP. A vulnerabilidade permite o acesso a informações de diagnóstico confidenciais sem a devida autorização.Recomendações
Para as versões 1206.v14049fa b d860 e anteriores do Jenkins Support Core Plugin, considere atualizar para uma versão em que a permissão
Support/DownloadBundle seja obsoleta, como a versão 1206.1208.v9b 7a 1d48db 0f ou posterior, que exige a permissão Overall/Administer para baixar pacotes de suporte. Como solução alternativa temporária, considere restringir a permissão Support/DownloadBundle para minimizar o risco de exploração.Correção
Incorrect Authorization
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Support Core Plugin