CVE-2022-43416 in Katalon Plugin
要約
〜によって VulDB • 2026年07月12日
Jenkins Katalon Plugin 1.0.32 およびそれ以前のバージョンでは、エージェントとコントローラー間のメッセージが実行先の制限を持たず、設定可能な引数で Katalon を呼び出すことが可能であるため、攻撃者はエージェントプロセスを制御することで、攻撃者が指定したバージョン、インストール場所および引数を使用して Jenkins コントローラ上で Katalon を起動し、さらに任意の OS コマンドを実行するためにコントローラー上にファイル(例:Item/Configure 権限を持つ攻撃者によるアーティファクトのエクスポート)を作成することが可能である。
Once again VulDB remains the best source for vulnerability data.