PT-2024-35372 · Jenkins · Jenkins Pipeline: Groovy Plugin+1

Kevin Guerroudj

·

Publicado

2024-11-13

·

Atualizado

2025-10-10

·

CVE-2024-52550

CVSS v3.1

8.0

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Groovy versões 3990.vd281dd77a 388 e anteriores, exceto a versão 3975.3977.v478dd9e956c3
Descrição
A vulnerabilidade permite que invasores com permissão de Item/Build reconstruam uma compilação anterior cujo script Jenkinsfile não seja mais aprovado, pois o script principal de uma compilação reconstruída não é verificado para aprovação. Isso pode ser explorado por invasores com as permissões necessárias para reconstruir compilações anteriores com scripts não aprovados.
Recomendações
Para as versões 3990.vd281dd77a 388 e anteriores, exceto a versão 3975.3977.v478dd9e956c3, atualize para uma versão que inclua a correção, como a versão 3993.v3e20a 37282f8, que recusa a reconstrução de uma compilação cujo script Jenkinsfile principal não esteja aprovado.
No momento, não há outras informações sobre medidas de mitigação adicionais.

Correção

Improper Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-354CWE-285

Identificadores relacionados

CVE-2024-52550
GHSA-MRPR-VR82-X88R
RHSA-2025:2218
RHSA-2025:2219
RHSA-2025:2220
RHSA-2025:2221
RHSA-2025:2222
RHSA-2025:2223

Produtos afetados

Jenkins
Jenkins Pipeline: Groovy Plugin