Múltiples vulnerabilidades en complementos de Jenkins

Jenkins ha publicado un aviso de seguridad sobre múltiples vulnerabilidades, que permitirían a un atacante realizar Cross Site Request Forgery (CSRF), Cross Site Scripting (XSS), omisiones de seguridad, entre otros.

Las vulnerabilidades reportadas se componen de 8 (ocho) de severidad “Alta”, 13 (trece) de severidad “Media” y 3 (tres) de severidad “Baja”. Las principales se detallan a continuación:

• CVE-2022-27210 y CVE-2022-27211, ambas de severidad alta, sin puntuaciones asignadas aún. Estas vulnerabilidades se deben a que no se realiza una verificación de permisos en uno de los endpoint HTTP. Esto permite a los atacantes con permiso “Overall / Read” conectarse a un servidor SSH utilizando ID de credenciales obtenidas a través de la captura de estas almacenadas en Jenkins. Es importante destacar que este endpoint no requiere solicitudes POST, lo que da lugar a una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF). Ellas afectan así a Jenkins Kubernetes Continuous Deploy para la obtención de credenciales.
• CVE-2022-27212 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a que las versiones del plugin Jenkins List Git Branches Parameter no validan correctamente el nombre del parámetro ‘List Git branches (and more)’ y su valor por defecto, lo que resulta en una vulnerabilidad cross-site scripting (XSS) almacenada explotable por atacantes con permiso “Item / Configure”.‎

Se puede acceder al listado completo de los detalles sobre las vulnerabilidades aquí.

Las versiones afectadas de los complementos de Jenkins son:

• CloudBees AWS Credentials Plugin hasta e incluyendo 189.v3551d5642995
• Dashboard View Plugin hasta e incluyendo 2.18
• dbCharts Plugin hasta e incluyendo 0.5.2
• Environment Dashboard Plugin hasta e incluyendo 1.1.10
• Extended Choice Parameter Plugin hasta e incluyendo 346.vd87693c5a_86c
• Favorite Plugin hasta e incluyendo 2.4.0
• Folder-based Authorization Strategy Plugin hasta e incluyendo 1.3
• GitLab Authentication Plugin hasta e incluyendo 1.13
• global-build-stats Plugin hasta e incluyendo 1.5
• incapptic connect uploader Plugin hasta e incluyendo 1.15
• Kubernetes Continuous Deploy Plugin hasta e incluyendo 2.3.1
• List Git Branches Parameter Plugin hasta e incluyendo 0.0.9
• Parameterized Trigger Plugin hasta e incluyendo 2.43
• Release Helper Plugin hasta e incluyendo 1.3.3
• Semantic Versioning Plugin hasta e incluyendo 1.13
• Vmware vRealize CodeStream Plugin hasta e incluyendo 1.2

Recomendamos instalar las actualizaciones correspondientes, mediante el siguiente enlace:

• https://plugins.jenkins.io/, buscando el nombre del Plugin correspondiente que desee actualizar.

Referencias:

• https://www.jenkins.io/security/advisory/2022-03-15/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1177/
• https://nvd.nist.gov/vuln/detail/CVE-2022-27210
• https://nvd.nist.gov/vuln/detail/CVE-2022-27211
• https://nvd.nist.gov/vuln/detail/CVE-2022-27212