PT-2024-1590 · Qualys · Qualys Jenkins Plugin For Policy Compliance
Publicado
2024-01-09
·
Atualizado
2024-01-24
·
CVE-2023-6147
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Qualys Jenkins Plugin for Policy Compliance, versões anteriores à 1.0.6
Descrição
O problema está relacionado ao Qualys Policy Compliance Connector Plugin e envolve restrição incorreta de links XML para objetos externos, permitindo que um invasor remoto realize ataques XXE usando código XML especialmente criado. A vulnerabilidade se deve à falta de uma verificação de permissão durante a verificação de conectividade com os Qualys Cloud Services, permitindo que qualquer usuário com acesso de login para configurar ou editar tarefas utilize o plugin e, potencialmente, controle respostas para determinadas solicitações, nas quais poderiam ser injetadas cargas XXE.
Recomendações
Para versões do Qualys Jenkins Plugin for Policy Compliance anteriores à 1.0.6, atualize para a versão 1.0.6 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao plug-in para minimizar o risco de exploração.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Qualys Jenkins Plugin For Policy Compliance