Vulnerabilidades de denegación de servicio (DoS) y escalamiento de privilegios en Jenkins

Jenkins reporta dos vulnerabilidades que afectan a la biblioteca XStream, utilizada para procesar archivos XML.

Las mismas son:

CVE-2021-43859 de severidad alta, con una puntuación de 7.5. Esta vulnerabilidad se debe a una falla en la biblioteca XStream, que Jenkins utiliza para procesar varios archivos XML. Un atacante puede manipular el flujo de entrada y reemplazar o inyectar código malicioso, que podría dar como resultado un cálculo de código hash recursivo exponencial, lo que provocaría una denegación de servicio (DoS).

CVE-2022-0538 de severidad media, sin puntuación asignada. Esta vulnerabilidad se debe a la falla en una función desconocida del componente XStream Converter. Esto permitiría a un atacante mediante la manipulación de un input desconocido, realizar escalamiento de privilegios.

Las versiones afectadas son:

• Jenkins weekly 2.333 y anteriores.
• Jenkins LTS 2.319.2 y anteriores.

Recomendamos descargar e instalar la versión más reciente proveída por el fabricante mediante el siguiente link:

• https://www.jenkins.io/security/advisory/2022-02-09/

Referencias:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1140/
• https://x-stream.github.io/CVE-2021-43859.html
• https://www.jenkins.io/security/advisory/2022-02-09/
• https://nvd.nist.gov/vuln/detail/CVE-2022-0538
• https://nvd.nist.gov/vuln/detail/CVE-2021-43859