Se han reportado múltiples vulnerabilidades que afectan a plugins de Jenkins, que podrían permitir a un atacante realizar ataques del tipo cross-site request forgery (CSRF), cross-site scripting (XSS), así como crear o reemplazar archivos arbitrarios en el sistema.
Las vulnerabilidades reportadas se componen de 5 (Cinco) de severidad “alta”, 28 (Veintiocho) de severidad “media”, 1 (uno) de severidad “Baja” Las principales se detallan a continuación:
- CVE-2022-36920, de severidad “alta” y puntuación asignada de 8.8. Esta vulnerabilidad se debe a la falta de comprobación de permisos en Coverity Plugin. Esto permitiría a un atacante realizar ataques del tipo cross-site request forgery (CSRF), permitiéndole capturar las credenciales almacenadas en Jenkins.
- CVE-2022-36882, de severidad “alta” y puntuación asignada de 8.8. Esta vulnerabilidad se debe a la falta de mecanismos de autenticación en el componente webhook del plugin Jenkins Git. Esto permitiría a un atacante realizar ataques del tipo cross-site request forgery (CSRF).
- CVE-2022-36881, de severidad “alta” y puntuación asignada de 8.1. Esta vulnerabilidad se debe a la falta de verificación de la clave de host SSH. Esto permitiría a un atacante realizar ataques del tipo man-in-the-middle para interceptar estas conexiones SSH.
Puede acceder a la lista completa de vulnerabilidades aquí.
Algunos productos afectados son:
- Git client Plugin, versión 3.11.0 y anteriores.
- Jenkins Coverity Plugin, versión 1.11.4 y anteriores.
- Git Plugin, versión 4.11.3 y anteriores.
- Jenkins Maven Metadata Plugin for Jenkins CI server Plugin, versión 2.2 y anteriores.
- Jenkins GitHub Plugin, versión 1.34.4 y anteriores.
- Jenkins CLIF Performance Testing Plugin, versión 64.vc0d66de1dfb_f y anteriores.
- Jenkins External Monitor Job Type Plugin 191.v363d0d1efdf8 y anteriores.
Puede acceder a la lista completa de productos afectados aquí.
Recomendamos instalar las actualizaciones correspondientes provistas por Jenkins en el siguiente enlace:
Referencias: