Aviso de seguridad de múltiples vulnerabilidades en Jenkins

Se ha reportado un nuevo aviso de seguridad sobre 25 vulnerabilidades que afectan a plugins de Jenkins, que permitirían a un atacante ejecutar códigos arbitrarios, realizar ataques cross-site scripting (XSS), entre otros.

Las vulnerabilidades reportadas se componen de 1(una) de severidad “crítica”, 8 (ocho) de severidad “alta”, 15 (quince) de severidad “media” y 1 (una) de severidad “baja”. Las principales se detallan a continuación:

CVE-2022-33980, de severidad “crítica” y puntuación asignada de 9.8. La vulnerabilidad se debe a una validación incorrecta de entrada de la librería Apache Commons utilizada por el plugin Pipeline Utility Steps. Un atacante remoto podría configurar Pipelines para realizar ejecución de código arbitrario en el contexto de la JVM del controlador Jenkins del sistema afectado.

CVE-2022-45379, de severidad “alta” y puntuación asignada de 8.0. Esta vulnerabilidad se debe a una falla de seguridad de colisiones SHA-1 en el plugin Script Security. Esto permite a un atacante provocar ataques de colisión SHA-1 para vulnerar la seguridad criptográfica del sistema afectado.

CVE-2022-45380, de severidad “alta” y puntuación asignada de 8.0. Esta vulnerabilidad se debe a falta de validación de datos proporcionados por el usuario en el plugin Junit. Un atacante remoto podría aprovechar esta vulnerabilidad para realizar ataques cross-site scripting (XSS) persistentes y comprometer información confidencial.

Puede acceder al listado completo de vulnerabilidades aquí

Los plugins de Jenkins afectados son:

Associated Files Plugin, 0.2.1 y anteriores.
BART Plugin, versión 1.0.3 y anteriores.
CCCC Plugin, versión 0.6 y anteriores.
CloudBees Docker Hub/Registry Notification Plugin, versión 2.6.2 y anteriores.

Se puede acceder al listado completo de plugins afectados aquí

Recomendamos acceder a las actualizaciones provistas por Jenkins en el siguiente enlace:

https://plugins.jenkins.io/

Referencias: