CVE-2022-41236

Plugin Jenkins Security Inspector, versões 117.v6eecc36919c2 e anteriores

O problema está relacionado à autenticação insuficiente de solicitações POST executadas, permitindo que um invasor remoto realize um ataque de falsificação de solicitação entre sites (CSRF). Essa vulnerabilidade permite que invasores substituam o relatório gerado, armazenado em um cache por sessão e exibido para usuários autorizados na URL /report, por um relatório baseado em opções de geração de relatório especificadas pelo invasor. Isso pode causar confusão nos usuários do plugin que esperam ver um resultado diferente.

Para as versões 117.v6eecc36919c2 e anteriores do Jenkins Security Inspector Plugin, como solução temporária, considere restringir o acesso à URL /report até que um patch esteja disponível. Além disso, tenha cuidado com os relatórios gerados pelo plugin, pois eles podem ser baseados em opções especificadas pelo invasor. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.