PT-2022-27492 · Jenkins · Jenkins Loader.Io Plugin+1
Kevin Guerroudj
·
Publicado
2022-11-15
·
Atualizado
2023-11-01
·
CVE-2022-45390
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins loader.io, versões 1.0.1 e anteriores
Descrição
A ausência de uma verificação de permissão no plugin Jenkins loader.io permite que invasores com permissão “Overall/Read” enumerem os IDs das credenciais armazenadas no Jenkins. Isso pode ser usado como parte de um ataque para capturar as credenciais por meio de outra vulnerabilidade. O problema está relacionado a um endpoint HTTP que não realiza uma verificação de permissão.
Recomendações
Para as versões 1.0.1 e anteriores do plugin Jenkins loader.io, como solução temporária, considere restringir o acesso ao endpoint HTTP até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Loader.Io Plugin