Actualizaciones de seguridad para productos Jenkins

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Jenkins, que permitirían a un atacante realizar ataques del tipo Cross-site Scripting (XSS) almacenado, Cross-Site Request Forgery (CSRF), entre otros. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta”, 5 (cinco) de severidad “Media” y 1 (una) de severidad “Baja”. Las principales se detallan a continuación:  

• CVE-2023-39151, de severidad “Alta” y puntuación de 8.0. Esta vulnerabilidad del tipo cross-site scripting (XSS) almacenado se debe a una falla de validaciones de datos de entrada en las URLs de registros de compilación al momento de transformarlas en hipervínculos en Jenkins. Esto permitiría a un atacante obtener el control del contenido de registro de compilación en el sistema afectado. 

• CVE-2023-39153, de severidad “Media” y puntuación de 4.6. Esta vulnerabilidad del tipo cross site request forgery (CSRF) se debe a una falla de solicitud de autenticación en el parámetro de estado del flujo de OAuth en el plugin GitLab Authentication de Jenkins. Esto permitiría a un atacante a través de una solicitud especialmente diseñada, engañar a las víctimas para que inicien sesión en una cuenta afectada. 

• CVE-2023-39152, de severidad “Media” y puntuación de 4.3. Esta vulnerabilidad se debe a una falla en la implementación del flujo de control del plugin Gradle de Jenkins. Esto permitiría a un atacante obtener acceso sin enmascaramiento de credenciales (es decir, reemplazadas con asteriscos) en el registro de compilación del sistema afectado. 

Se puede acceder al listado completo de las vulnerabilidades aquí. 

Algunos productos afectados son: 

• Jenkins weekly, anteriores a 2.416. 
• Jenkins LTS, anteriores a 2.401.3. 
• GitLab Authentication Plugin, anteriores a 1.18 
• Gradle Plugin, anteriores a 2.8.1 

Se puede acceder al listado completo de los productos afectados aquí. 

Recomendamos instalar las actualizaciones correspondientes que son provistas por el fabricante en el siguiente enlace:  

• https://plugins.jenkins.io/ 

Referencias: 

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1665/ 
• https://nvd.nist.gov/vuln/detail/CVE-2023-39151 
• https://nvd.nist.gov/vuln/detail/CVE-2023-39153 
• https://nvd.nist.gov/vuln/detail/CVE-2023-39152 
• https://www.jenkins.io/security/advisory/2023-07-26/ 
• https://plugins.jenkins.io/