PT-2022-27498 · Jenkins · Jenkins Sourcemonitor Plugin+1
Cc Bomber
·
Publicado
2022-11-15
·
Atualizado
2025-04-30
·
CVE-2022-45396
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins SourceMonitor, versões 0.2 e anteriores
Descrição
A vulnerabilidade permite que invasores controlem arquivos de entrada XML para a etapa pós-compilação “Publicar resultados do SourceMonitor”, possibilitando que processos do agente analisem um arquivo malicioso que utiliza entidades externas para extrair segredos do agente Jenkins ou para falsificação de solicitações do lado do servidor. Isso tem impacto real em circunstâncias específicas, nas quais os invasores podem controlar arquivos XML, mas não conseguem alterar etapas de compilação, Jenkinsfiles, código de teste ou similares.
Recomendações
Para as versões 0.2 e anteriores do plugin Jenkins SourceMonitor, atualize o plugin para uma versão que configure seu analisador XML para impedir ataques de entidade externa XML (XXE). Como solução alternativa temporária, considere restringir o acesso à etapa pós-compilação “Publicar resultados do SourceMonitor” para minimizar o risco de exploração.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Sourcemonitor Plugin