PT-2022-4016 · Jenkins · Jenkins Coverity Plugin+1
Kevin Guerroudj
·
Publicado
2022-07-27
·
Atualizado
2023-11-02
·
CVE-2022-36919
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Coverity, versões 1.11.4 e anteriores
Descrição
A ausência de uma verificação de permissão no plugin Jenkins Coverity permite que invasores com permissão de nível geral/leitura enumerem os IDs das credenciais armazenadas no Jenkins. Esse problema está relacionado a procedimentos de autorização insuficientes, que podem ser explorados por um invasor remoto para obter acesso não autorizado a informações protegidas. A vulnerabilidade pode ser usada como parte de um ataque para capturar credenciais utilizando outra vulnerabilidade.
Recomendações
Para as versões 1.11.4 e anteriores do Jenkins Coverity Plugin, como solução temporária, considere restringir o acesso ao plugin até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Coverity Plugin