CVE-2022-45390

MITJÀ: (4.3)

CVSS3: 3.8

El plugin Jenkins loader.io podria permetre a un atacant remot autenticat obtenir informació sensible, causat per no realitzar una comprovació de permisos en un endpoint HTTP. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per a enumerar els ID de les credencials emmagatzemades en Jenkins, i utilitzar aquesta informació per a llançar més atacs contra el sistema afectat.

Sistemes Afectats

• Jenkins loader.io Plugin 1.0.1

Remediació
Consulti l’avís de seguretat de Jenkins 2022-11-15 per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://www.jenkins.io/security/advisory/2022-11-15/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-45390