Jenkins vuelve a publicar este mes nuevos avisos de seguridad para sus complementos

15 Noviembre 2021
Alto

 

Jenkins ha publicado un nuevo aviso de seguridad que contiene 6 vulnerabilidades todas de severidad Alta. Dichas vulnerabilidades afectan principalmente a los complementos Active Choices, OWASP Dependency-Check,  Performance, entre otros.

Severidad Alta

CVE-2021-21699
Vulnerabilidad de XSS almacenada en el complemento Active Choices 

Las versiones afectadas de Active Choices no escapan al nombre de parámetro de los parámetros reactivos y los parámetros de referencia dinámica, dando como resultado una vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) que pueden explotar los atacantes con permiso de “Trabajo Configuración”.

CVE-2021-21700
Vulnerabilidad XSS almacenada en el complemento Scriptler 

Scriptler Plugin 3.3 y versiones anteriores no escapan al nombre de los scripts en la interfaz de usuario cuando se solicita confirmar su eliminación. Esto da como resultado una vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) que los atacantes pueden aprovechar para crear secuencias de comandos.

CVE-2021-21701
Vulnerabilidad XXE en el complemento de rendimiento 

Performance Plugin 3.20 y versiones anteriores no configuran su analizador XML para evitar ataques de entidad externa XML (XXE), permitiendo así a los atacantes que pueden controlar el contenido del espacio de trabajo hacer que Jenkins analice un archivo de informe XML elaborado que utiliza entidades externas para la extracción de secretos del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

CVE-2021-43576
Vulnerabilidad XXE en el complemento pom2config 

pom2config Plugin 1.2 y versiones anteriores no configuran su analizador XML para evitar ataques de entidades externas XML (XXE). Esto permite a los atacantes con permisos “General/Lectura” y “Elemento Lectura” hacer que Jenkins analice un archivo XML elaborado que utiliza entidades externas para la extracción de secretos del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

CVE-2021-43577
Vulnerabilidad XXE en el complemento OWASP Dependency-Check 

OWASP Dependency-Check Plugin 5.1.1 y versiones anteriores no configuran su analizador XML para evitar ataques de entidad externa XML (XXE). Esto permite a los atacantes que pueden controlar el contenido del espacio de trabajo hacer que Jenkins analice un archivo XML elaborado que utiliza entidades externas para la extracción de secretos del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

CVE-2021-43578
Vulnerabilidad de escritura arbitraria de archivos en el complemento Squash TM Publisher (Squash4Jenkins) 

Squash TM Publisher (Squash4Jenkins) Plugin 1.0.0 y versiones anteriores implementan un mensaje de agente a controlador que no implementa ninguna validación de su entrada.

Esto permite que los atacantes puedan controlar los procesos del agente para reemplazar archivos arbitrarios en el sistema de archivos del controlador de Jenkins con una cadena JSON controlada por el atacante.

IMPORTANTE: 

A partir de la publicación de este aviso, no hay correcciones disponibles para los siguientes complementos:

  • Complemento OWASP Dependency-Check
  • Complemento Performance
  • Complemento pom2config
  • Complemento de Squash TM Publisher (Squash4Jenkins)

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #Complemento #CVE-2021-21699 #CVE-2021-21700 #CVE-2021-21701 #CVE-2021-43576 #CVE-2021-43577 #CVE-2021-43578


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.