PT-2022-4030 · Jenkins · Jenkins Git Plugin+1
Jesse Glick
·
Publicado
2022-07-27
·
Atualizado
2023-11-22
·
CVE-2022-36885
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins para GitHub, versões 1.34.4 e anteriores
Descrição
A vulnerabilidade está relacionada à divulgação de informações devido a uma inconsistência. Ela permite que um invasor remoto obtenha acesso não autorizado a informações protegidas. O problema reside no uso de uma função de comparação de tempo não constante ao verificar se as assinaturas de webhook fornecidas e calculadas são iguais. Isso permite que invasores utilizem métodos estatísticos para obter uma assinatura de webhook válida.
Recomendações
Para as versões 1.34.4 e anteriores do Jenkins GitHub Plugin, atualize para a versão 1.34.5 ou posterior, que utiliza uma comparação de tempo constante ao validar a assinatura do webhook.
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Git Plugin