Cabecera-v2-web.jpg

Múltiples vulnerabilidades en productos Jenkins


18/04/2022

El servidor de automatización open source Jenkins, publicó un aviso de seguridad que contiene 17 vulnerabilidades, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), cross-site equest forgery (CSRF), entre otros.

Las vulnerabilidades reportadas se componen de 13 (trece) de severidad “Alta”, y 4 (cuatro) de severidad “Media”. Las principales se detallan a continuación:

  • CVE-2022-29041, de severidad alta, sin puntuación asignada aún. Esta vulnerabilidad se debe al despliegue del nombre y la descripción de los parámetros “Credentials” de Jira Issue y Jira Release en las vistas que muestran dichos parámetros, dando como resultado una vulnerabilidad cross-site scripting (XSS) almacenada. Pudiendo ser explotado por atacantes, que posean permiso Item/Configure.
  • CVE-2022-29047 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el componente Shared Groovy Libraries Plugin y permitiría a un atacante, enviar solicitudes pull (o equivalente), pero que no pueden realizar commit directamente con el SCM configurado, con el propósito de cambiar de manera efectiva el comportamiento de Pipeline modificando el comportamiento de la biblioteca en su solicitud de pull, incluso si Pipeline está configurado para no confiar en ellos.
  • CVE-2022-27671 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a la falta de validación de los nombres de las promociones definidas en Job DSL. Esto permitiría a un atacante con permiso Job/Configure crear una promoción con un nombre no seguro. Como resultado, el nombre de la promoción podría usarse para ataques cross-site scripting (XSS) o para reemplazar otros archivos config.xml.

Se puede acceder al listado completo de los detalles sobre las vulnerabilidades aquí.

Algunos productos afectados son:

  • Git Parameter Plugin inclusive, version 0.9.15
  • Job Generator Plugin inclusive, version 1.22
  • Google Compute Engine Plugin inclusive, version 4.3.8
  • Jira Plugin inclusive, version 3.7

Se puede acceder al listado completo de los productos afectados aquí.

Recomendamos el siguiente link para las actualizaciones futuras:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11