PT-2024-36011 · Jenkins · Jenkins Filesystem List Parameter Plugin+1
Daniel Beck
·
Publicado
2024-11-27
·
Atualizado
2025-10-03
·
CVE-2024-54004
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
Plugin de parâmetro “Lista de objetos do sistema de arquivos” do Jenkins, versões 0.0.14 e anteriores
Descrição:
A vulnerabilidade permite que invasores com permissão “Item/Configurar” enumerem nomes de arquivos no sistema de arquivos do controlador do Jenkins devido à falta de restrição no caminho utilizado pelo parâmetro “Lista de objetos do sistema de arquivos”.
Recomendações:
Para o plugin Jenkins Filesystem List Parameter nas versões 0.0.14 e anteriores, atualize para a versão 0.0.15 ou posterior, que restringe os caminhos usados pelo parâmetro Lista de objetos do sistema de arquivos a uma lista de permissões, com o diretório base padrão definido como $JENKINS HOME/userContent/. Além disso, considere configurar a lista de permissões para incluir diretórios base personalizados, conforme necessário.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jenkins
Jenkins Filesystem List Parameter Plugin