CVE-2022-45397

Jenkins OSF Builder Suite : : Plugin XML Linter, versões 1.0.2 e anteriores

O problema decorre do fato de o analisador XML não estar configurado para impedir ataques de entidade externa XML (XXE). Isso permite que invasores capazes de controlar arquivos XML processados pela etapa de compilação ‘OSF Builder Suite : : XML Linter’ criem arquivos que utilizam entidades externas, o que pode levar à extração de segredos do agente Jenkins ou à falsificação de solicitações do lado do servidor. O impacto desse problema é limitado a circunstâncias específicas em que os invasores podem controlar arquivos XML, mas não podem modificar etapas de compilação, Jenkinsfiles ou código de teste executado nos agentes.

Para as versões 1.0.2 e anteriores, considere configurar o analisador XML para prevenir ataques de entidade externa XML (XXE) como medida de mitigação. Restrinja o acesso à etapa de compilação do XML Linter para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.