PT-2024-35373 · Jenkins · Jenkins Pipeline: Declarative Plugin+1

Kevin Guerroudj

·

Publicado

2024-11-13

·

Atualizado

2025-10-08

·

CVE-2024-52551

CVSS v3.1

8.0

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Jenkins Pipeline: Plugin Declarative, versões 2.2214.vb b 34b 2ea 9b 83 e anteriores
Descrição
A vulnerabilidade permite que invasores com permissão de Item/Build reiniciem uma compilação anterior cujo script Jenkinsfile não esteja mais aprovado, uma vez que o plugin não verifica se o script principal usado para reiniciar uma compilação a partir de um estágio específico está aprovado. Isso pode ser explorado por invasores com as permissões necessárias.
Recomendações
Para o Jenkins Pipeline: Plugin Declarativo versões 2.2214.vb b 34b 2ea 9b 83 e anteriores, atualize para a versão 2.2218.v56d0cda 37c72 ou posterior, que recusa reiniciar uma compilação cujo script Jenkinsfile principal não esteja aprovado. Como solução alternativa temporária, considere restringir a permissão de Item/Build para minimizar o risco de exploração.

Correção

Incorrect Default Permissions

Improper Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-276CWE-285

Identificadores relacionados

CVE-2024-52551
GHSA-P2QQ-C693-Q53W
RHSA-2025:2218
RHSA-2025:2219
RHSA-2025:2220
RHSA-2025:2221
RHSA-2025:2222
RHSA-2025:2223

Produtos afetados

Jenkins
Jenkins Pipeline: Declarative Plugin