Se ha publicado un nuevo aviso de seguridad para múltiples vulnerabilidades que afectan a varios productos de Jenkins, que permitirían a un atacante realizar ataques cross-site scripting (XSS), crear o reemplazar archivos arbitrarios en el sistema, entre otros.
Jenkins ha reportado un total de 42 vulnerabilidades en el Aviso de seguridad. Las principales se detallan a continuación:
- CVE-2022-36894, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a un error en el complemento de prueba de rendimiento CLIF 64.vc0d66de1dfb_f de Jenkins. Un atacante con permiso de lectura podría crear o reemplazar archivos arbitrarios en el sistema de archivos.
- CVE-2022-36902, de severidad “Alta” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el complemento del parámetro Dynamic Extended Choice de Jenkins. Un atacante con permiso Item/Configure podría realizar ataques del tipo cross-site scripting (XSS).
Puede acceder a la lista completa de vulnerabilidades aquí.
Algunos productos afectados de Jenkins son:
- Compuware Source Code Download for Endevor, PDS, and ISPW Plugin, versiones anteriores a 2.0.12.
- OpenShift Deployer Plugin, versiones anteriores a 1.2.0.
- Compuware Topaz Utilities Plugin, versiones anteriores a 1.0.8.
- Files Found Trigger Plugin, versiones anteriores a 1.5.
- Openstack Heat Plugin, versiones anteriores a 1.5.
- HTTP Request, versiones anteriores a 1.15.
Puede acceder a la lista completa de los productos afectados aquí.
Recomendamos realizar la actualización de los plugins y/o componentes afectados teniendo en cuenta la siguiente lista:
Referencias: