Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en diferentes representaciones de rutas URL de petición en Jenkins y LTS (CVE-2020-2160)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
25/03/2020
Última modificación:
25/10/2023

Descripción

Jenkins versiones 2.227 y anteriores, LTS versiones 2.204.5 y anteriores, usan diferentes representaciones de rutas URL de petición, lo cual permite a atacantes diseñar una URL que permite la omisión de la protección de CSRF de cualquier URL objetivo.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jenkins:jenkins:*:*:*:*:lts:*:*:* 2.204.5 (incluyendo)
cpe:2.3:a:jenkins:jenkins:*:*:*:*:-:*:*:* 2.227 (incluyendo)