CVE-2022-45386

MITJÀ: (5.4)

CVSS3: 4.7

El Plugin de Seguretat Jenkins Script podria permetre a un atacant remot autenticat obtenir informació sensible, causada per un maneig inadequat de les declaracions d’entitats externes XML (XXE) per part del parser XML. Utilitzant un contingut XML especialment dissenyat, un atacant remot podria explotar aquesta vulnerabilitat per a extreure secrets de l’agent Jenkins o realitzar atacs de falsificació de sol·licituds del costat del servidor.

Sistemes Afectats

• Jenkins Violations Plugin 0.7.11

Remediació
Consulti l’avís de seguretat de Jenkins 2022-11-15 per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://www.jenkins.io/security/advisory/2022-11-15/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-45386