Múltiples vulnerabilidades en plugins de Jenkins 

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a plugins de Jenkins, que permitirían a un atacante realizar ejecución remota de código (RCE), cross-site scripting (XSS), cross-site request forgery (CSRF), entre otros. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”, 5 (cinco) de severidad “Alta”, 22 (veintidós) de severidad Media”, y 3 (tres) de severidad “Baja”. Las principales se detallan a continuación: 

  • CVE-2022-41237, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en la configuración del analizador YAML en Jenkins DotCi Plugin. Esto permitiría a un atacante que posea permisos de modificar archivos .ci.yml en SCM, realizar ejecución remota de código (RCE). 
  • CVE-2022-41226, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en la configuración del analizador XML en Jenkins Compuware Common Configuration Plugin. Esto permitiría a un atacante realizar ataques external entity injection (XXE) para así hacer la extracción de datos del controlador de Jenkins o la falsificación de solicitudes del servidor. 
  • CVE-2022-41236, de severidad “alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falta de peticiones HTTP POST en un endpoint HTTP en Jenkins Security Inspector Plugin. Esto permitiría a un atacante realizar cross-site request forgery (CSRF), así como reemplazar el informe generado en una memoria caché por sesión y mostrado a los usuarios autorizados en la URL /report un informe basado en la opción de generación de informes especificados. 

Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace. 

Las versiones afectadas son: 

  • DotCi Plugin versión 2.40.00 y anteriores. 
  • Compuware Common Configuration Plugin versión 1.0.14 y anteriores. 
  • Security Inspector Plugin versión 117.v6eecc36919c2 y anteriores. 

Puede acceder a la lista completa de versiones afectadas en el siguiente enlace. 

Recomendamos instalar las actualizaciones correspondientes provistas por Jenkins en el siguiente enlace: 

Referencias:  

Compartir: