CVE-2022-34211

MITJÀ: (4.3)

CVSS3: 3.8

El plugin de Jenkins vRealize Orchestrator és vulnerable a cross-site request forgery, causada per una validació inadequada de l’entrada subministrada per l’usuari. En persuadir a un usuari autenticat perquè visiti un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP mal formada per a enviar una sol·licitud HTTP POST a un URL especificat per l’atacant. Un atacant podria aprofitar aquesta vulnerabilitat per a realitzar atacs de cross-site scripting, enverinament del Web Cache i altres activitats malicioses.

Sistemes Afectats

• Jenkins vRealize Orchestrator Plugin 3.0

Remediació
Consulta l’avís de seguretat 2022-06-22 de Jenkins per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://www.jenkins.io/security/advisory/2022-06-22/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34211