Vulnerabilidades de Cross-Site Request Forgery (CSRF) y Cross-Site Scripting (XSS) en plugins de Jenkins

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a plugins de Jenkins, que permitirían a un atacante realizar ataques del tipo Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS), entre otros. 

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”, 12 (doce) de severidad “Media” y 1 (una) de severidad “Baja”. Las principales se detallan a continuación: 

• CVE-2023-40336, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad del tipo Cross-Site Request Forgery (CSRF) se debe a una falla de seguridad al no requerir solicitudes POST en el plugin cloudbees-folder de Jenkins. Esto permitiría a un atacante copiar un elemento a través de la aprobación automática de scripts maliciosos y realizar ejecución de scripts especialmente diseñados en el sistema afectado. 

• CVE-2023-40342, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla de validación de datos de entrada a los contenidos de prueba de JUnit en la interfaz de usuario de Jenkins. Esto permitiría a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) almacenada y controlar el contenido del archivo de informe Junit del sistema afectado. 

• CVE-2023-40346, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla de seguridad en el plugin Shortcut Job de Jenkins. Esto permitiría a un atacante a través de la configuración de URLs de acceso directo, realizar ataques del tipo Cross-Site Scripting (XSS) almacenada en el sistema afectado. 

Se puede acceder al listado completo de vulnerabilidades aquí 

Algunos productos afectados son:  

• Folders Plugin, versión 6.846.v23698686f0f6 y anteriores. 
• Fortify Plugin, versión 22.1.38 y anteriores. 
• NodeJS Plugin, versión 1.6.0 y anteriores. 
• Flaky Test Handler Plugin, versión 1.2.2 y anteriores. 

Puede acceder al listado completo de productos afectados aquí 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

• https://plugins.jenkins.io/ 

Referencias: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1688/ 
• https://www.jenkins.io/security/advisory/2023-08-16/ 
• https://nvd.nist.gov/vuln/detail/CVE-2023-40336 
• https://nvd.nist.gov/vuln/detail/CVE-2023-40342 
• https://nvd.nist.gov/vuln/detail/CVE-2023-40346 
• https://plugins.jenkins.io/