![300-3007624_jenkins-hd-png-download](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/03/300-3007624_jenkins-hd-png-download.png)
Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Jenkins, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), cross site request forgery (CSRF), escritura arbitraria de archivos, entre otros.
Las vulnerabilidades reportadas se componen de 8 (ocho) de severidad “Alta”, 19 (diecinueve) de severidad “Media” y 1 (una) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-32997, de severidad “Alta” y con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de validación de inicio de sesión en el plugin CAS de Jenkins. Esto permitiría a un atacante remoto obtener acceso de administrador del sistema afectado
- CVE-2023-32984, de severidad “Alta” y con puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla en la gestión de archivos de informes TestNG de Jenkins. Esto permitiría a un atacante remoto a través de archivos de informes TestNG especialmente diseñados, realizar ataques del tipo cross-site scripting (XSS) en el sistema afectado.
- CVE-2023-32977, de severidad “Alta” y con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de compilación en el plugin Pipeline Job de Jenkins. Esto permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) almacenadas y establecer los nombres de visualización de las compilaciones de forma inmediata en el sistema afectado.
Puede acceder al listado completo de vulnerabilidades aquí
Algunos productos afectados son:
- Pipeline Job Plugin, versiones anteriores a 1292.v27d8cc3e2602.
- TestNG Results Plugin, versiones anteriores a 730.732.v959a_3a_a_eb_a_72.
- SAML Single On (SSO) Plugin, versiones anteriores a anteriores a 2.0.1, 2.1.0, 2.2.0, 2.0.0, 2.0.2, 2.1.0 (todas incluidas).
- CAS Plugin, versiones anteriores a 1.6.3.
Puede acceder al listado completo de productos afectado en el siguiente enlace
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias: