PT-2024-22298 · Jenkins · Jenkins Bitbucket Branch Source Plugin+1
Anders Hammar
·
Publicado
2024-03-06
·
Atualizado
2025-09-18
·
CVE-2024-28152
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Bitbucket Branch Source, versões 866.vdea 7dcd3008e e anteriores, exceto a versão 848.850.v6a a 2a 234a c81
Descrição
A vulnerabilidade permite que usuários sem acesso de gravação ao projeto realizem alterações nos Jenkinsfiles ao usar o Bitbucket Server e quando a política de confiança “Forks na mesma conta” estiver em vigor. Isso ocorre ao detectar pull requests provenientes de forks.
Recomendações
Para as versões 866.vdea 7dcd3008e e anteriores, exceto a versão 848.850.v6a a 2a 234a c81, considere restringir o uso da política de confiança “Forks na mesma conta” até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Preservation of Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Bitbucket Branch Source Plugin