Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Jenkins, que permitirían a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) almacenado, Path traversal, entre otros.
Las vulnerabilidades reportadas se componen de 6 (seis) de severidad “Alta”, 12 (doce) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-46751, de severidad “Alta”, con puntuación asignada de 8.2. Esta vulnerabilidad del tipo XML external entity (XXE) se debe a una falla de control en el archivo de entrada para la posterior compilación del plugin Ivy. Esto permitiría a un atacante a través de un documento XML especialmente diseñado utilizado en entidades externas, obtener información confidencial del controlador de Jenkins o realizar falsificación de peticiones del lado del servidor afectado.
- CVE-2023-41930 y CVE-2023-41931, ambas de severidad “Alta”, con puntuación asignada de 8.0 Estas vulnerabilidades del tipo Path traversal se deben a una falla de restricción en el parámetro de consulta name en un registro del historial del plugin Job Configuration History. Esto permitiría a un atacante realizar ataques del tipo Cross-Site Scripting (XSS) almacenado, obtener el historial de configuración y crear un archivo en el controlador del sistema afectado.
- CVE-2023-41932 y CVE-2023-41933, ambas de severidad “Alta”, con puntuación asignada de 7.1 Estas vulnerabilidades del tipo Path traversal se deben a una falla de restricción en el parámetro de consulta timestamp en múltiples endpoints del plugin Job Configuration History. Esto permitiría a un atacante con permisos Job Config History/DeleteEntry e Item/Configure a través de un documento XML especialmente diseñado, realizar ataques del tipo XML external entity (XXE) y eliminar directorios específicos del sistema de archivos del controlador, siempre que contengan un archivo llamado .timestamphistory.xml.
- SECURITY-3018, sin CVE asignado aún, de severidad “Alta”, con puntuación asignada de 7.1. Esta vulnerabilidad se debe a una falla en la verificación de permisos en múltiples endpoints del plugin Qualys Container Scanning Connector. Esto permitiría a un atacante con permiso Item/Configure, obtener acceso a las credenciales y los ID almacenados del sistema afectado.
Para visualizar la lista detallada de las vulnerabilidades afectadas, ingresar al siguiente enlace.
Los productos afectados son:
- Job Configuration History Plugin, versión 1227.v7a_79fc4dc01f y anteriores.
- Azure AD Plugin, versión 396.v86ce29279947 y anteriores.
- Google Login Plugin, versión 1.7 y anteriores.
- Qualys Container Scanning Connector Plugin, versión 1.6.2.6 y anteriores.
Se puede acceder a lista completa de productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1707/
- https://nvd.nist.gov/vuln/detail/CVE-2022-46751
- https://nvd.nist.gov/vuln/detail/CVE-2023-41930
- https://nvd.nist.gov/vuln/detail/CVE-2023-41931
- https://nvd.nist.gov/vuln/detail/CVE-2023-41932
- https://nvd.nist.gov/vuln/detail/CVE-2023-41933
- https://plugins.jenkins.io/
- https://www.jenkins.io/security/advisory/2023-09-06/