PT-2024-7108 · Jenkins+1 · Jenkins+1
Olivier Lamy
·
Publicado
2024-10-02
·
Atualizado
2024-11-13
·
CVE-2024-47803
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões 2.478 e anteriores do Jenkins
Versões LTS 2.462.2 e anteriores do Jenkins
Descrição
O problema está relacionado à falta de proteção para dados confidenciais no Jenkins. Especificamente, o Jenkins não oculta valores secretos de várias linhas nas mensagens de erro geradas para envios de formulários envolvendo o campo de formulário
secretTextarea. Isso pode resultar na exposição de segredos de várias linhas por meio dessas mensagens de erro, por exemplo, no log do sistema. Um invasor poderia explorar isso para obter acesso não autorizado a informações confidenciais no sistema.Recomendações
Para as versões 2.478 e anteriores do Jenkins, atualize para a versão 2.479 ou posterior.
Para as versões 2.462.2 e anteriores do Jenkins LTS, atualize para a versão 2.462.3 ou posterior.
Como solução temporária, considere restringir o acesso a mensagens de erro que possam conter informações confidenciais até que um patch seja aplicado.
Correção
Generation of Error Message Containing Sensitive Information
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Jenkins
Red Os