PT-2024-2759 · Red Hat+2 · Jenkins Red Hat Dependency Analytics Plugin+2
Pierre Beitz
·
Publicado
2024-01-24
·
Atualizado
2024-04-11
·
CVE-2024-23905
CVSS v2.0
5.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Red Hat Dependency Analytics, versões 0.7.1 e anteriores
Descrição
O problema está relacionado à falta de proteção por Content-Security-Policy para conteúdos gerados pelo usuário em espaços de trabalho, artefatos arquivados etc., que o Jenkins disponibiliza para download. Isso permite que um invasor remoto execute ataques de cross-site scripting (XSS) com a possibilidade de gerenciar arquivos em áreas de trabalho. O plugin Red Hat Dependency Analytics desativa programaticamente a proteção da Política de Segurança de Conteúdo (Content-Security-Policy) para conteúdo gerado pelo usuário quando a etapa de compilação “Invoke Red Hat Dependency Analytics (RHDA)” é executada.
Recomendações
Para as versões 0.7.1 e anteriores do plugin Jenkins Red Hat Dependency Analytics, considere desativar a etapa de compilação “Invoke Red Hat Dependency Analytics (RHDA)” até que um patch esteja disponível para impedir a desativação da proteção da Política de Segurança de Conteúdo. Restrinja o acesso a conteúdo gerado pelo usuário em áreas de trabalho e artefatos arquivados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Red Hat Dependency Analytics Plugin
Red Os