Se han identificado varias vulnerabilidades en los complementos de Jenkins que podrían permitir a un actor malicioso eludir las medidas de seguridad, acceder a repositorios Git de forma no autorizada y almacenar información confidencial sin cifrar.
Productos Afectados:
- Git server Plugin <= 114.v068a_c7cc2574
- Script Security Plugin <= 1335.vf07d9ce377a_e
- Subversion Partial Release Manager Plugin <= 1.0.1
- Telegram Bot Plugin <= 1.4.0
Las mismas están identificadas como:
CVE-2024-34144: Se ha asignado una puntuación en CVSSv3 de 8.8, con una severidad alta, del tipo omisión de sandbox que afecta al plugin Jenkins Script Security, podría permitir a un actor malicioso ejecutar scripts sandboxed, incluyendo Pipelines, eludir la protección del sandbox y ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.
CVE-2024-34148: Se ha asignado una puntuación en CVSSv3 de 6.8, con una severidad media, esto podría permitir a un actor malicioso la explotación exitosa y ejecución de código arbitrario en el servidor Jenkins.
CVE-2024-34146: Se ha asignado una puntuación en CVSSv3 de 5.3, con una severidad media, la cual no realiza una verificación de permisos adecuada para el acceso de lectura de repositorios Git a través de SSH, esto podría permitir a un actor malicioso con una clave pública SSH previamente configurada, pero sin el permiso, general lectura y acceder a dichos repositorios.
CVE-2024-34147: Se ha asignado una puntuación en CVSSv3 de 3.3, con una severidad baja, la cual el plugin Jenkins Telegram Bot almacena el token de Telegram Bot sin cifrar en su archivo de configuración global en el controlador de Jenkins, esto podría permitir a un actor malicioso con acceso al sistema de archivos del controlador de Jenkins ver el token y potencialmente usarlo para tomar el control del bot.
Recomendación:
Se recomienda actualizar los complementos afectados a las versiones más recientes que incluyen las correcciones de seguridad.
Referencias:
https://www.jenkins.io/security/advisory/2024-05-02
https://nvd.nist.gov/vuln/detail/CVE-2024-34144
https://nvd.nist.gov/vuln/detail/CVE-2024-34146
https://nvd.nist.gov/vuln/detail/CVE-2024-34147
https://nvd.nist.gov/vuln/detail/CVE-2024-34148