Actualizaciones de seguridad para productos Jenkins

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Jenkins, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), cross site request forgery (CSRF), escritura arbitraria de archivos, entre otros. 

Las vulnerabilidades reportadas se componen de 8 (ocho) de severidad “Alta”, 19 (diecinueve) de severidad “Media” y 1 (una) de severidad “Baja”. Las principales se detallan a continuación: 

• CVE-2023-32997, de severidad “Alta” y con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de validación de inicio de sesión en el plugin CAS de Jenkins. Esto permitiría a un atacante remoto obtener acceso de administrador del sistema afectado 

• CVE-2023-32984, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla en la gestión de archivos de informes TestNG de Jenkins. Esto permitiría a un atacante remoto a través de archivos de informes TestNG especialmente diseñados, realizar ataques del tipo cross-site scripting (XSS) en el sistema afectado. 

• CVE-2023-32977, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de compilación en el plugin Pipeline Job de Jenkins. Esto permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) almacenadas y establecer los nombres de visualización de las compilaciones de forma inmediata en el sistema afectado. 

Puede acceder al listado completo de vulnerabilidades aquí 

Algunos productos afectados son:  

• Pipeline Job Plugin, versiones anteriores a 1292.v27d8cc3e2602. 
• TestNG Results Plugin, versiones anteriores a 730.732.v959a_3a_a_eb_a_72. 
• SAML Single On (SSO) Plugin, versiones anteriores a anteriores a 2.0.1, 2.1.0, 2.2.0, 2.0.0, 2.0.2, 2.1.0 (todas incluidas). 
• CAS Plugin, versiones anteriores a 1.6.3. 

Puede acceder al listado completo de productos afectado en el siguiente enlace 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

• https://plugins.jenkins.io/ 

Referencias: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1595/ 
• https://nvd.nist.gov/vuln/detail/CVE-2023-32977 
• https://nvd.nist.gov/vuln/detail/CVE-2023-32984 
• https://nvd.nist.gov/vuln/detail/CVE-2023-32997 
• https://www.jenkins.io/security/advisory/2023-05-16/ 
• https://plugins.jenkins.io/