Vulnerabilidad en Jenkins Pipeline: Stage View Plugin (CVE-2022-43408)
Severidad:
MEDIA
Type:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
19/10/2022
Última modificación:
01/11/2023
Descripción
Pipeline de Jenkins: Stage View Plugin versiones 2.26 y anteriores, no codifica correctamente el ID de los pasos "input" cuando es usado para generar URLs para proceder o abortar construcciones de Pipeline, lo que permite a atacantes capaces de configurar Pipelines para especificar IDs de pasos de "input" que resulten en URLs que puedan omitir la protección de tipo CSRF de cualquier URL de destino en Jenkins
Impacto
Puntuación base 3.x
6.50
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:jenkins:pipeline\:stage_view:*:*:*:*:*:jenkins:*:* | 2.27 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página