Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a complementos de Jenkins, que permitirían a un atacante realizar cross-site scripting (XSS), evadir controles de seguridad, ejecución remota de código (RCE), entre otros.
Las vulnerabilidades reportadas se componen de 20 (veinte) de severidad “Alta”, 12 (doce) de severidad “Media” y 3 (tres) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-43401, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una evasión de restricciones de sandbox en Jenkins Script Security Plugin. Esto permitiría a un atacante evadir controles de seguridad y realizar ejecución remota de código (RCE).
- CVE-2022-43416, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a que Jenkins Katalon Plugin implementa un mensaje de controlador que no limita dónde se puede ejecutar y permite iniciar Katalon con argumentos configurables. Esto permitiría a un atacante controlar los procesos de Katalon en el controlador de Jenkins e incluso ejecutar comandos del sistema operativo, en caso de que el atacante tenga permiso del tipo “Item/Configure”.
- CVE-2022-43408, de severidad “Alta”, con una puntuación asignada de 8.0. Esta vulnerabilidad se debe a que Jenkins Pipeline: Stage View Plugin codifica incorrectamente el ID de los pasos de ingreso de datos. Esto permitiría a un atacante realizar cross-site request forgery (CSRF).
Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.
Algunos productos afectados son:
- Compuware Source Code Download for Endevor, PDS, and ISPW Plugin, versión 2.0.12 y versiones anteriores.
- NUnit Plugin, versión 0.27 y anteriores.
- XFramium Builder Plugin, versión 1.0.22 y versiones anteriores.
Puede acceder a la lista completa de las versiones afectadas en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias: