CVE-2024-5273

Plugin Jenkins Report Info, versões 1.2 e anteriores

O problema decorre da falta de validação do caminho do diretório da área de trabalho durante o fornecimento de arquivos de relatório, levando a uma vulnerabilidade de traversal de caminho. Isso permite que invasores com permissão Item/Configure recuperem informações confidenciais, incluindo falhas do Surefire, violações do PMD, bugs do Findbugs e erros do Checkstyle, do sistema de arquivos do controlador, manipulando o caminho da área de trabalho. Além disso, o Report Info Plugin não oferece suporte a compilações distribuídas.

Para as versões 1.2 e anteriores do Jenkins Report Info Plugin, como solução temporária, considere restringir o acesso ao diretório da área de trabalho para minimizar o risco de exploração. Evite usar o plugin até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.