Se han detectado múltiples vulnerabilidades en el software Jenkins y plugins asociados. Estas vulnerabilidades permitirían el acceso no autorizado, la inyección de información maliciosa o ataques XSS.
Productos Afectados
Jenkins Core Weekly – Versión 2.486 y anteriores
Jenkins Core LTS – Versión 2.479.1 y anteriores
Filesystem List Parameter Plugin – Versión 0.0.14 y anteriores
Simple Queue Plugin – Versión 1.4.4 y anteriores
Impacto
Las vulnerabilidades se identifican como:
CVE-2024-54003: Puntuación CVSS 8, severidad alta. Una vulnerabilidad en Simple Queue Plugin permitiría a atacantes con permisos de Lectura/Escritura ejecutar código JavaScript arbitrario en los navegadores de usuarios que visiten páginas Jenkins afectadas.
CVE-2024-47855: Puntuación CVSS 5.3, severidad media. Un manejo inadecuado de strings en JSON-lib permitiría a un atacante inyectar información maliciosa o causar condiciones tipo Denial of Service (DoS) en las aplicaciones afectadas.
CVE-2024-54004: Puntuación CVSS 4.3, severidad media. Una vulnerabilidad en Filesystem List Parameter Plugin permitiría a atacantes obtener acceso no autorizado a información sensible.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias
https://www.jenkins.io/security/advisory/2024-11-27
https://nvd.nist.gov/vuln/detail/CVE-2024-54003
https://nvd.nist.gov/vuln/detail/CVE-2024-47855
https://nvd.nist.gov/vuln/detail/CVE-2024-54004