Jenkins ha publicado un aviso de seguridad sobre múltiples vulnerabilidades, que permitirían a un atacante realizar Cross Site Request Forgery (CSRF), Cross Site Scripting (XSS), omisiones de seguridad, entre otros.
Las vulnerabilidades reportadas se componen de 8 (ocho) de severidad “Alta”, 13 (trece) de severidad “Media” y 3 (tres) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-27210 y CVE-2022-27211, ambas de severidad alta, sin puntuaciones asignadas aún. Estas vulnerabilidades se deben a que no se realiza una verificación de permisos en uno de los endpoint HTTP. Esto permite a los atacantes con permiso “Overall / Read” conectarse a un servidor SSH utilizando ID de credenciales obtenidas a través de la captura de estas almacenadas en Jenkins. Es importante destacar que este endpoint no requiere solicitudes POST, lo que da lugar a una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF). Ellas afectan así a Jenkins Kubernetes Continuous Deploy para la obtención de credenciales.
- CVE-2022-27212 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a que las versiones del plugin Jenkins List Git Branches Parameter no validan correctamente el nombre del parámetro ‘List Git branches (and more)’ y su valor por defecto, lo que resulta en una vulnerabilidad cross-site scripting (XSS) almacenada explotable por atacantes con permiso “Item / Configure”.
Se puede acceder al listado completo de los detalles sobre las vulnerabilidades aquí.
Las versiones afectadas de los complementos de Jenkins son:
- CloudBees AWS Credentials Plugin hasta e incluyendo 189.v3551d5642995
- Dashboard View Plugin hasta e incluyendo 2.18
- dbCharts Plugin hasta e incluyendo 0.5.2
- Environment Dashboard Plugin hasta e incluyendo 1.1.10
- Extended Choice Parameter Plugin hasta e incluyendo 346.vd87693c5a_86c
- Favorite Plugin hasta e incluyendo 2.4.0
- Folder-based Authorization Strategy Plugin hasta e incluyendo 1.3
- GitLab Authentication Plugin hasta e incluyendo 1.13
- global-build-stats Plugin hasta e incluyendo 1.5
- incapptic connect uploader Plugin hasta e incluyendo 1.15
- Kubernetes Continuous Deploy Plugin hasta e incluyendo 2.3.1
- List Git Branches Parameter Plugin hasta e incluyendo 0.0.9
- Parameterized Trigger Plugin hasta e incluyendo 2.43
- Release Helper Plugin hasta e incluyendo 1.3.3
- Semantic Versioning Plugin hasta e incluyendo 1.13
- Vmware vRealize CodeStream Plugin hasta e incluyendo 1.2
Recomendamos instalar las actualizaciones correspondientes, mediante el siguiente enlace:
- https://plugins.jenkins.io/, buscando el nombre del Plugin correspondiente que desee actualizar.
Referencias: