Vulnerabilidades de Cross-Site Scripting (XSS) y ejecución de código arbitrario en plugins de Jenkins

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a plugins de Jenkins, que permitirían a un atacante realizar ataques del tipo Cross-Site Scripting (XSS), ejecución de código arbitrario, entre otros. 

Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”, 4 (cuatro) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación: 

• CVE-2023-43495, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla de validación en el contenido del registro de compilación del parámetro constructor .captionExpandableDetailsNote en Jenkins LTS. Esto permitiría a un atacante proporcionar valores de parámetros .caption y realizar ataques del tipo Cross-Site Scripting (XSS) en el sistema afectado. 

• CVE-2023-43496, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla de seguridad en la creación de archivos temporales en el directorio del sistema en Jenkins LTS. Esto permitiría a un atacante con acceso al sistema de archivos del controlador, realizar lectura y escritura en archivos arbitrarios antes de instalarlo en Jenkins y posteriormente ejecución de código arbitrario en el sistema afectado. 

• CVE-2023-43499, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla en los registros de compilación dentro del plugin Build Failure Analyzer de Jenkins. Esto permitiría a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) almacenado en el sistema afectado. 

Para acceder al listado completo de vulnerabilidades ingrese aquí 

Los productos afectados son:  

• Jenkins weekly, versión 2.423 y anteriores 
• Jenkins LTS, versión 2.414.1 y anteriores 
• Build Failure Analyzer Plugin, versión 2.4.1 y anteriores. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

• https://www.jenkins.io/download/ 

Referencias: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1720/ 
• https://nvd.nist.gov/vuln/detail/CVE-2023-43495 
• https://nvd.nist.gov/vuln/detail/CVE-2023-43496 
• https://nvd.nist.gov/vuln/detail/CVE-2023-43499 
• https://www.jenkins.io/security/advisory/2023-09-20/#SECURITY-3072 
• https://www.jenkins.io/download/