jenkins pom2config xml外部实体引用的不恰当限制（xxe）

CVE编号

CVE-2021-43576

利用情况

暂无

补丁情况

N/A

披露时间

2021-11-12

漏洞描述

Jenkins pom2config Plugin 1.2 and earlier does not configure its XML parser to prevent XML external entity (XXE) attacks, allowing attackers with Overall/Read and Item/Read permissions to have Jenkins parse a crafted XML file that uses external entities for extraction of secrets from the Jenkins controller or server-side request forgery.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.openwall.com/lists/oss-security/2021/11/12/1
https://www.jenkins.io/security/advisory/2021-11-12/#SECURITY-2415
https://www.zerodayinitiative.com/advisories/ZDI-21-1314/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	jenkins	pom2config	*		Up to (including) 1.2

攻击路径网络
攻击复杂度低
权限要求无
影响范围未更改
用户交互需要
可用性无
保密性高
完整性无

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N CWE-ID 漏洞类型 CWE-611 XML外部实体引用的不恰当限制（XXE）

正文

jenkins pom2config xml外部实体引用的不恰当限制（xxe）

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

IBM WebSphere Commerce 至 8.0.0.0 空指针解引用

发表评论取消回复

还没有评论，来说两句吧...

目录[+]