Aviso de seguridad de múltiples vulnerabilidades en plugins de Jenkins

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a plugins de Jenkins, que permitirían a un atacante obtener acceso con privilegios de administración, ataques de cross-site scripting (XSS), entre otros. 

Las vulnerabilidades reportadas se componen de 8 (ocho) de severidad “Alta”, 26 (veintiséis) de severidad “Media” y 4 (cuatro) de severidad “Baja”. Las principales se detallan a continuación: 

  • CVE-2023-24422, de severidad “alta”, con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una evasión de restricciones de sandbox en Jenkins Script Security Plugin. Esto permitiría a un atacante evadir controles de seguridad y realizar ejecución de código arbitrario. 
  • CVE-2023-24424 y CVE-2023-24426,  de severidad “alta”, con puntuaciones asignadas de 8.8. Estas vulnerabilidades se deben a una falla de seguridad en el inicio de sesión en Jenkins OpenId Connect Authentication Plugin y en Jenkins Azure AD Plugin. Esto permitiría a un atacante a través de técnicas de ingeniería social obtener acceso de administración a Jenkins debido a que el plugin no invalida la sesión existente ante un nuevo inicio de sesión en el sistema afectado. 

Para acceder al listado completo de vulnerabilidades ingrese aquí. 

Algunos de los productos afectados son: 

  • Script Security Plugin, versión 1228.vd93135a_2fb_25 y versiones anteriores. 
  • OpenId Connect Authentication Plugin, versión 2.4 y versiones anteriores. 
  • Azure AD 303.va_91ef20ee49f y versiones anteriores. 

Puede acceder a la lista completa de los productos afectados en el siguiente enlace.  

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

Referencias:  

Compartir: