Vulnerabilidades en Jenkins

Se han detectado múltiples vulnerabilidades en el software Jenkins y plugins asociados. Estas vulnerabilidades permitirían el acceso no autorizado, la inyección de información maliciosa o ataques XSS.

Productos Afectados

Jenkins Core Weekly – Versión 2.486 y anteriores

Jenkins Core LTS – Versión 2.479.1 y anteriores

Filesystem List Parameter Plugin – Versión 0.0.14 y anteriores

Simple Queue Plugin – Versión 1.4.4 y anteriores

Impacto

Las vulnerabilidades se identifican como:

CVE-2024-54003: Puntuación CVSS 8, severidad alta. Una vulnerabilidad en Simple Queue Plugin permitiría a atacantes con permisos de Lectura/Escritura ejecutar código JavaScript arbitrario en los navegadores de usuarios que visiten páginas Jenkins afectadas.

CVE-2024-47855: Puntuación CVSS 5.3, severidad media. Un manejo inadecuado de strings en JSON-lib permitiría a un atacante inyectar información maliciosa o causar condiciones tipo Denial of Service (DoS) en las aplicaciones afectadas.

CVE-2024-54004: Puntuación CVSS 4.3, severidad media. Una vulnerabilidad en Filesystem List Parameter Plugin permitiría a atacantes obtener acceso no autorizado a información sensible.

Recomendación

Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.

Referencias

https://www.jenkins.io/security/advisory/2024-11-27

https://nvd.nist.gov/vuln/detail/CVE-2024-54003

https://nvd.nist.gov/vuln/detail/CVE-2024-47855

https://nvd.nist.gov/vuln/detail/CVE-2024-54004

Compartir: