Jenkins ha lanzado parches de seguridad para vulnerabilidades de criticidad alta, media y baja para varios de sus productos, que permitirían a un atacante realizar ejecución remota de código (RCE), Cross Site Scripting (XSS), Template Injection (XXE), Cross Site Request Forgery (CSRF).
Las vulnerabilidades reportadas se componen de 13 (trece) de severidad “Alta”, 24 (veinticuatro) de severidad “Media” y 3 (tres) de severidad “Baja”. Entre ellas destacan las siguientes vulnerabilidades:
- CVE-2022-25173 de criticidad alta, aún sin puntuación asignada. Esta vulnerabilidad se debe al componente Groovy Plugin. La explotación de la misma permitiría a un atacante crear peticiones maliciosas con el objetivo de realizar ejecución remota de código (RCE) en el sistema operativo de la víctima.
- CVE-2022-25174 de criticidad alta, aún sin puntuación asignada. Esta vulnerabilidad se relaciona al componente Shared Groovy Libraries Plugin. La explotación de la misma permitiría a un atacante crear peticiones maliciosas con el objetivo de realizar ejecución remota de código (RCE) en el sistema operativo de la víctima.
- CVE-2022-25175 de criticidad alta, aún sin puntuación asignada. Esta vulnerabilidad se debe a un error en el componente Multibranch Plugin. La explotación de la misma permitiría a un atacante crear peticiones maliciosas con el objetivo de realizar ejecución remota de código (RCE) en el sistema operativo de la víctima.
- CVE-2022-25181 de criticidad alta, aún sin puntuación asignada. Esta vulnerabilidad se relaciona al componente Shared Groovy Libraries Plugin. La explotación de la misma permitiría a un atacante con permisos Item/Configure crear contenido SCM (Source Code Management) malicioso con el objetivo de ejecutar código arbitrario en el Jenkins Controller JVM.
Los productos afectados son:
- GitLab Authentication Plugin 1.13 y anteriores
- Snow Commander Plugin 2.0 y anteriores
- Pipeline: Shared Groovy Libraries Plugin 552.vd9cc05b8a2e1 y anteriores
- SWAMP Plugin 1.2.6 y anteriores
- dbCharts Plugin 0.5.2 y anteriores
- Custom Checkbox Parameter Plugin 1.1 y anteriores
Para una lista completa de los productos afectados visualizar la siguiente lista.
Recomendamos realizar la actualización de los plugins y/o componentes afectados teniendo en cuenta la siguiente lista:
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1149/
- https://www.jenkins.io/security/advisory/2022-02-15/#SECURITY-2177
- https://nvd.nist.gov/vuln/detail/CVE-2022-25181
- https://nvd.nist.gov/vuln/detail/CVE-2022-25173
- https://nvd.nist.gov/vuln/detail/CVE-2022-25174
- https://nvd.nist.gov/vuln/detail/CVE-2022-25175