Múltiples vulnerabilidades de riesgo crítico, alto, medio y bajo en plugins de Jenkins

Jenkins ha abordado recientemente en actualizaciones de seguridad 21 vulnerabilidades que afectan a diversos plugins, de las cuales 1 ha sido catalogada como crítica7 de riesgo alto , 11 de riesgo medio y 2 de riesgo bajo. La explotación exitosa de estos fallos permitiría a un atacante, iniciar sesión como cualquier usuario, inyectar código malicioso, obtener información potencialmente confidencial, entre otros ataques.

Productos Afectados:

  • Active Directory Plugin en versiones 2.19 y anteriores;
  • Ansible Plugin en versiones 1.0 y anteriores;
  • AppSpider Plugin en versiones 1.0.12 y anteriores;
  • AWS Global Configuration Plugin en versiones 1.5 y anteriores;
  • Azure Key Vault Plugin en versiones 2.0 y anteriores;
  • FindBugs Plugin en versiones 5.0.0 y anteriores;
  • Kubernetes Plugin en versiones 1.27.3 y anteriores;
  • Mail Commander Plugin for Jenkins-ci Plugin en versiones 1.0.0 y anteriores;
  • Mercurial Plugin en versiones 2.11 y anteriores;
  • SQLPlus Script Runner Plugin en versiones 2.0.12 y anteriores;
  • Static Analysis Utilities Plugin en versiones 1.96 y anteriores;
  • Subversion Plugin en versiones 2.13.1 y anteriores;
  • Visualworks Store Plugin en versiones 1.1.3 y anteriores;
  • VMware Lab Manager Slaves Plugin en versiones 0.2.8 y anteriores.

A continuación se detallan las vulnerabilidades de riesgo crítico y alto descubiertas:

Fallo de riesgo crítico

El CVE-2020-2299, afecta al modo basado en LDAP (Lightweight Directory Access Protocol) del plugin Active Directory en versiones 2.19 y anteriores. Este fallo se da debido a que comparte código entre la búsqueda de usuarios y la autenticación de usuarios, distinguiendo ambos comportamientos mediante el uso de una “constante mágica” utilizada en lugar de una contraseña real. Esto podría permitir a un atacante remoto iniciar sesión como cualquier usuario, si la “constante mágica” es utilizada como la contraseña.

Fallos de riesgo alto

Fallos que permitirían a un atacante remoto iniciar sesión como cualquier usuario:

  • El CVE-2020-2300, afecta al modo Windows/ADSI del plugin Active Directory y se da debido a que este no prohíbe explícitamente el uso de contraseñas vacías.
  • Mientras que el CVE-2020-2301, afecta al modo Windows/ADSI del plugin Active Directory y se da debido a que la contraseña proporcionada no se utiliza al buscar una entrada de caché aplicable.

Por otro lado, múltiples vulnerabilidades de XXE (XML External Entity) que permitirían a un atacante remoto controlar un proceso de agente, para hacer que Jenkins analice un registro de cambios especialmente diseñado utilizando entidades externas para la extracción de información confidencial del controlador de Jenkins o falsificar solicitudes del lado del servidor, identificadas como:

  • El CVE-2020-2304, que afecta al plugin Subversion en versiones 2.3.1 y anteriores;
  • El CVE-2020-2305, que afecta al plugin Mercurial en versiones 2,11 y anteriores;
  • El CVE-2020-2315, que afecta al plugin Visualworks Store en versiones 1.1.3 y anteriores.

Vulnerabilidades de XSS (Cross-site Scripting) almacenado, que permitirían a un atacante remoto inyectar código malicioso:

  • El CVE-2020-2316, afecta al plugin Static Analysis Utilities en versiones 1.96 y anteriores;
  • Mientras que el CVE-2020-2317, afecta al plugin FindBugs en versiones 5.0.0 y anteriores.

Ambos fallos se dan debido a que los plugins no escapan correctamente el mensaje de anotación en la información sobre herramientas.

Finalmente, se abordaron vulnerabilidades de riesgo medio y bajo, a continuación se mencionan algunas de las más resaltantes:

Vulnerabilidad que permitiría a un atacante remoto con pocos privilegios acceder a variables de entorno del controlador Jenkins potencialmente confidenciales en el plugin Kubernetes (CVE-2020-2307). Fallos que permitirían a un atacante remoto con permisos de escritura enumerar ID de credenciales almacenadas en Jenkins, en el plugin Azure Key Vault (CVE-2020-2313) y Ansible Plugin (CVE-2020-2310). Finalmente, vulnerabilidades que permitirían a un atacante visualizar contraseñas en texto plano en los plugins Mail Commander (CVE-2020-2318), VMware Lab Manager Slaves (CVE-2020-2319) y AppSpider (CVE-2020-2314).

Recomendaciones:

  • Actualizar los productos afectados, a las siguientes versiones:
    • Active Directory Plugin, a la versión 2.20, desde el siguiente enlace.
    • Ansible Plugin, a la versión 1.1, desde el siguiente enlace.
    • AppSpider Plugin, a la versión 1.0.13, desde el siguiente enlace.
    • AWS Global Configuration Plugin, a la versión 1.6, desde el siguiente enlace.
    • Azure Key Vault Plugin, a la versión 2.1, desde el siguiente enlace.
    • Kubernetes Plugin, a la versión 1.27.4 o posteriores, desde el siguiente enlace.
    • Mercurial Plugin, a la versión 2.12, desde el siguiente enlace.
    • SQLPlus Script Runner Plugin, a la versión 2.0.13, desde el siguiente enlace.
    • Subversion Plugin, a la versión 2.13.2, desde el siguiente enlace.
    • Visualworks Store Plugin, a la versión 1.1.4, desde el siguiente enlace.
  • En el caso de los siguientes plugins se recomienda aplicar la actualización de seguridad en cuanto se encuentre disponible:
    • FindBugs Plugin, desde el siguiente enlace.
    • Mail Commander Plugin for Jenkins-ci Plugin, desde el siguiente enlace.
    • Static Analysis Utilities Plugin, desde el siguiente enlace.
    • VMware Lab Manager Slaves Plugin, desde el siguiente enlace.

Referencias:

Compartir: