Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades que afectan a varios productos de Jenkins, que permitirían a un atacante realizar ejecución remota de código (RCE), ataques cross-site scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”, 1 (una) de severidad “Media”, y 1 (una) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-38664, de severidad “Alta”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el complemento de historial de configuración de trabajos. Esto permitiría a un atacante realizar ataques cross-site scripting (XSS).
- CVE-2021-25738, de severidad “alta”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en la biblioteca del cliente Java de Kubernetes Continuous Deploy. Esto permitiría a un atacante realizar ejecución remota de código (RCE).
Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.
Los productos afectados:
- CollabNet Plugin, versión 2.0.8 y versiones anteriores.
- Git Plugin, versión 4.11.4 y versiones anteriores.
- Job Configuration History Plugin, versión 1165.v8cc9fd1f4597 y versiones anteriores.
- Kubernetes Continuous Deploy Plugin, versión 2.3.1 y versiones anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por Jenkins en el siguiente enlace:
Referencias: