Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a plugins y componentes de Jenkins, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), cross site request forgery (CSRF), entre otros.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Alta” y 6 (seis) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-35141, de severidad “Alta” y puntuación de 8.0. Esta vulnerabilidad del tipo cross site request forgery (CSRF) se debe a una falla en los menús contextuales de varios elementos de la interfaz del usuario de Jenkins. Esto permitiría a un atacante con permisos de Item/Configure, a través del envío de peticiones POST para cargar la lista de acciones contextuales y una URL especialmente diseñada, engañar a la víctima para enviar una solicitud POST a un punto final inesperado (por ejemplo, la Consola de Scripts) y abrir un menú contextual con fines maliciosos.
- CVE-2023-35143, de severidad “Alta” y puntuación de 8.0. Esta vulnerabilidad del tipo cross-site scripting (XSS) almacenado se debe a una falla de validaciones de entrada de parte del usuario en el proceso de mostrar los artefactos de compilación en la página Build Artifacts del plugin Maven Repository Server. Esto permitiría a un atacante obtener el control de las versiones de proyectos maven en pom.xml del sistema afectado.
- CVE-2023-35144, de severidad “Alta” y puntuación de 8.0. Esta vulnerabilidad del tipo cross-site scripting (XSS) almacenado se debe a una falla de validaciones de entrada de parte del usuario en el proceso de mostrar nombres de proyectos y compilaciones en la página Build Artifacts del plugin Maven Repository Server. Esto permitiría a un atacante modificar los nombres de los proyectos o compilaciones que se despliegan en el sistema afectado.
Se puede acceder al listado completo de las vulnerabilidades aquí.
Algunos productos afectados son:
- Jenkins weekly, versión 2.399 y anteriores.
- Jenkins LTS, versión 2.387.3 y anteriores.
- Maven Repository Server Plugin, versión 1.10 y anteriores.
- AWS CodeCommit Trigger Plugin, versión 3.0.12 y anteriores.
Se puede acceder al listado completo de los productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes que son provistas por el fabricante en el siguiente enlace:
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1622/
- https://nvd.nist.gov/vuln/detail/CVE-2023-35141
- https://nvd.nist.gov/vuln/detail/CVE-2023-35143
- https://nvd.nist.gov/vuln/detail/CVE-2023-35144
- https://nvd.nist.gov/vuln/detail/CVE-2023-35144
- https://www.jenkins.io/security/advisory/2023-06-14/
- https://plugins.jenkins.io/