Cabecera-v2-web.jpg

Múltiples vulnerabilidades en complementos de Jenkins


29/03/2022

Jenkins ha publicado un aviso de seguridad sobre múltiples vulnerabilidades, que permitirían a un atacante realizar cross-site Scripting (XSS), ataques de XML external entity (XXE), entre otros.

Las vulnerabilidades reportadas se componen de 8 (ocho) de severidad “Alta”, 18 (dieciocho) de severidad “Media” y 3 (tres) de severidad “Baja”. Las principales se detallan a continuación:

  • CVE-2022-28133 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a que el complemento de integración del servidor Bitbucket, no limita los esquemas de URL para las URL de devolución de llamada en los consumidores OAuth, que permitiría a un atacante realizar ataques de cross-site scripting (XSS) en el servidor afectado. Para lograr la explotación un atacante debe ser capaz de crear consumidores de BitBucket Server.
  • CVE-2022-28140 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad es debida a la falta de configuración del analizador XML (lenguaje de marcado extensible) para evitar ataques de entidad externa XML (XXE), que permitiría a un atacante con permiso “Item/configure” hacer que Jenkins analice un archivo manipulado (utilizando entidades externas) para la extracción de información sensible del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.
  • CVE-2022-28145 de severidad alta, sin una puntuación asignada aún. Consiste en una vulnerabilidad de secuencias de comandos entre sitios, que utiliza una bifurcación parcheada de una versión anterior del explorador de archivos para entregar informes. Esta bifurcación elimina la funcionalidad del encabezado Content-Security-Policy, que permitiría a un atacante con el permiso “Item/configure” realizar ataques de cross-site scripting (XSS) almacenado o controlar la información del informe.

Para visualizar una lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.

Las versiones afectadas de los complementos de Jenkins son:

  • Bitbucket Server Integration Plugin versión 2.0.0 hasta 3.1.0
  • Continuous Integration with Toad Edge Plugin versión 2.3 y anteriores
  • Coverage/Complexity Scatter Plot Plugin versión 1.1.1 y anteriores
  • Flaky Test Handler Plugin versión 1.2.1 y anteriores
  • instant-messaging Plugin versión 1.41
  • JiraTestResultReporter Plugin 165.v817928553942 y anteriores
  • Job and Node ownership Plugin versión 0.13.0 y anteriores
  • Pipeline: Phoenix AutoTest Plugin versión 1.3 y anteriores
  • Proxmox Plugin versión 0.5.0, 0.6.0 y 0.7.0
  • RocketChat Notifier Plugin versión 1.4.10 y anteriores
  • SiteMonitor Plugin versión 0.6 y anteriores
  • Tests Selector Plugin versión 1.3.3 y anteriores

Recomendamos instalar las actualizaciones correspondientes, mediante el siguiente enlace:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11