![300-3007624_jenkins-hd-png-download](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/03/300-3007624_jenkins-hd-png-download.png)
Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a plugins de Jenkins, que permitirían a un atacante realizar ataques del tipo Cross-Site Scripting (XSS), ejecución de código arbitrario, entre otros.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”, 4 (cuatro) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-43495, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla de validación en el contenido del registro de compilación del parámetro constructor .captionExpandableDetailsNote en Jenkins LTS. Esto permitiría a un atacante proporcionar valores de parámetros .caption y realizar ataques del tipo Cross-Site Scripting (XSS) en el sistema afectado.
- CVE-2023-43496, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla de seguridad en la creación de archivos temporales en el directorio del sistema en Jenkins LTS. Esto permitiría a un atacante con acceso al sistema de archivos del controlador, realizar lectura y escritura en archivos arbitrarios antes de instalarlo en Jenkins y posteriormente ejecución de código arbitrario en el sistema afectado.
- CVE-2023-43499, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla en los registros de compilación dentro del plugin Build Failure Analyzer de Jenkins. Esto permitiría a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) almacenado en el sistema afectado.
Para acceder al listado completo de vulnerabilidades ingrese aquí
Los productos afectados son:
- Jenkins weekly, versión 2.423 y anteriores
- Jenkins LTS, versión 2.414.1 y anteriores
- Build Failure Analyzer Plugin, versión 2.4.1 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1720/
- https://nvd.nist.gov/vuln/detail/CVE-2023-43495
- https://nvd.nist.gov/vuln/detail/CVE-2023-43496
- https://nvd.nist.gov/vuln/detail/CVE-2023-43499
- https://www.jenkins.io/security/advisory/2023-09-20/#SECURITY-3072
- https://www.jenkins.io/download/