PT-2024-35376 · Jenkins · Jenkins Shared Library Version Override Plugin+1
Daniel Beck
·
Publicado
2024-11-13
·
Atualizado
2025-10-03
·
CVE-2024-52554
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Plugin Jenkins Shared Library Version Override, versões 17.v786074c9fce7 e anteriores
Descrição
A vulnerabilidade permite que invasores com permissão Item/Configure em uma pasta configurem uma substituição de biblioteca no escopo da pasta que seja executada sem proteção de sandbox, uma vez que essas substituições são declaradas como confiáveis e não são executadas na sandbox de segurança de scripts. Isso poderia ser potencialmente explorado por invasores para executar código malicioso sem a proteção da sandbox.
Recomendações
Para as versões 17.v786074c9fce7 e anteriores, atualize para uma versão que declare as substituições de biblioteca no escopo da pasta como não confiáveis, como a versão 19.v3a c975738d4a , para garantir que essas substituições sejam executadas na sandbox de segurança de scripts. Como solução alternativa temporária, considere restringir a permissão Item/Configure nas pastas para minimizar o risco de exploração.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Shared Library Version Override Plugin