Múltiples vulnerabilidades en complementos de Jenkins

Jenkins ha publicado un aviso de seguridad sobre múltiples vulnerabilidades, que permitirían a un atacante realizar Cross Site Request Forgery (CSRF), Cross Site Scripting (XSS), omisiones de seguridad, entre otros.

Las vulnerabilidades reportadas se componen de 8 (ocho) de severidad “Alta”, 13 (trece) de severidad “Media” y 3 (tres) de severidad “Baja”. Las principales se detallan a continuación:

  • CVE-2022-27210 y CVE-2022-27211, ambas de severidad alta, sin puntuaciones asignadas aún. Estas vulnerabilidades se deben a que no se realiza una verificación de permisos en uno de los endpoint HTTP. Esto permite a los atacantes con permiso “Overall / Read” conectarse a un servidor SSH utilizando ID de credenciales obtenidas a través de la captura de estas almacenadas en Jenkins. Es importante destacar que este endpoint no requiere solicitudes POST, lo que da lugar a una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF). Ellas afectan así a Jenkins Kubernetes Continuous Deploy para la obtención de credenciales.
  • CVE-2022-27212 de severidad alta, sin una puntuación asignada aún. Esta vulnerabilidad se debe a que las versiones del plugin Jenkins List Git Branches Parameter no validan correctamente el nombre del parámetro ‘List Git branches (and more)’ y su valor por defecto, lo que resulta en una vulnerabilidad cross-site scripting (XSS) almacenada explotable por atacantes con permiso “Item / Configure”.‎

Se puede acceder al listado completo de los detalles sobre las vulnerabilidades aquí.

Las versiones afectadas de los complementos de Jenkins son:

  • CloudBees AWS Credentials Plugin hasta e incluyendo 189.v3551d5642995
  • Dashboard View Plugin hasta e incluyendo 2.18
  • dbCharts Plugin hasta e incluyendo 0.5.2
  • Environment Dashboard Plugin hasta e incluyendo 1.1.10
  • Extended Choice Parameter Plugin hasta e incluyendo 346.vd87693c5a_86c
  • Favorite Plugin hasta e incluyendo 2.4.0
  • Folder-based Authorization Strategy Plugin hasta e incluyendo 1.3
  • GitLab Authentication Plugin hasta e incluyendo 1.13
  • global-build-stats Plugin hasta e incluyendo 1.5
  • incapptic connect uploader Plugin hasta e incluyendo 1.15
  • Kubernetes Continuous Deploy Plugin hasta e incluyendo 2.3.1
  • List Git Branches Parameter Plugin hasta e incluyendo 0.0.9
  • Parameterized Trigger Plugin hasta e incluyendo 2.43
  • Release Helper Plugin hasta e incluyendo 1.3.3
  • Semantic Versioning Plugin hasta e incluyendo 1.13
  • Vmware vRealize CodeStream Plugin hasta e incluyendo 1.2

Recomendamos instalar las actualizaciones correspondientes, mediante el siguiente enlace:

Referencias:

Compartir: