PT-2022-27948 · Jenkins · Jenkins Checkmarx Plugin+1
Kevin Guerroudj
+1
·
Publicado
2022-12-07
·
Atualizado
2022-12-12
·
CVE-2022-46684
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Checkmarx versões 2022.3.3 e anteriores
Descrição
O problema está relacionado a uma vulnerabilidade de cross-site scripting (XSS) armazenada. Ela ocorre porque o plugin não escapa os valores retornados pela API do serviço Checkmarx antes de inseri-los em relatórios HTML. Isso poderia ser explorado por meio de ataques man-in-the-middle, mesmo por usuários sem permissão de nível geral/administrador, uma vez que eles não têm permissão para configurar a URL do serviço Checkmarx.
Recomendações
Para as versões 2022.3.3 e anteriores do plugin Jenkins Checkmarx, atualize para a versão 2022.4.3 ou posterior, que escapa os valores retornados pela API do serviço Checkmarx antes de inseri-los nos relatórios HTML. Como solução alternativa temporária, considere restringir o acesso aos relatórios HTML gerados pelo plugin para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Checkmarx Plugin