Se han reportado nuevos avisos de seguridad sobre múltiples vulnerabilidades que afectan a Jenkins (core), Jenkins LTS, y update-center, que permitirían a un atacante realizar ataques del tipo cross-site scripting (XSS), ejecución arbitraria de código, denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta”, 3 (tres) de severidad “Media” y 2 (dos) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2023-27898, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en el plugin manager de Jenkins. Esto permitiría a un atacante realizar ataques del tipo cross-site scripting (XSS) almacenado y provocar ejecución arbitraria de código en el servidor afectado.
- CVE-2023-27899, de severidad “Alta”, con una puntuación asignada de 7.0. Esta vulnerabilidad se debe a una falla de seguridad al otorgar permisos a los archivos creados del plugin Temporary de Jenkins. Esto permitiría a un atacante con acceso al sistema de archivos de Jenkins, leer y escribir el archivo antes de que sea instalado, provocando así ejecución arbitraria de código.
Para acceder al listado completo de vulnerabilidades ingrese aquí.
Los productos afectados son:
- Jenkins (core), versión 2.270 hasta 2.393.
- Jenkins LTS, versión 2.277.1 hasta 2.375.3.
- update-center2, versión 3.14 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias: