Jenkins publica un nuevo aviso de seguridad para sus complementos

13 Enero 2022
Alto

Jenkins ha publicado un nuevo aviso de seguridad que contiene 24 vulnerabilidades. De estas 5 se clasifican como de Severidad Alta, 15 de Severidad Media y 4 de Severidad Baja. Las vulnerabilidades afectan principalmente a complementos como Active Directory, Bitbucket Branch Source, SSH Agen, entre otros.

CVE-2022-20615
Vulnerabilidad XSS almacenada en Matrix Project Plugin 

Matrix Project Plugin 1.19 y versiones anteriores no evitan los metacaracteres HTML en los nombres de nodos, etiquetas, y en las descripciones de las etiquetas. Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que pueden explotar los atacantes con el permiso Agente/Configurar.

CVE-2022-20617
Vulnerabilidad de ejecución de comandos del sistema operativo en el complemento Docker Commons 

Vulnerabilidad de ejecución de comandos del sistema operativo que pueden explotar los atacantes con el permiso Elemento/Configurar o capaces de controlar el contenido del repositorio SCM de un trabajo configurado previamente.

CVE-2022-20619
La vulnerabilidad CSRF en Bitbucket Branch Source Plugin permite capturar credenciales 

 Las versiones afectadas de Bitbucket Branch Source Plugin 737.vdf9dc06105be no requieren solicitudes POST para un punto final HTTP, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF). Esto permite a los atacantes con acceso general/de lectura conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins.

El complemento Bitbucket Branch Source 746.v350d2781c184 requiere solicitudes POST para el extremo HTTP afectado.

CVE-2022-23108
Vulnerabilidad XSS almacenada en Badge Plugin 

Badge Plugin permite agregar insignias de construcción con una descripción personalizada y, opcionalmente, un enlace a una URL. Las versiones afectadas no escapan a la descripción y no comprueban los protocolos permitidos al crear una insignia. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Elemento/Configurar.

CVE-2022-23118
Omisión de seguridad de agente a controlador en Debian Package Builder Plugin 

El complemento Debian Package Builder 1.6.11 y versiones anteriores implementa una funcionalidad que permite que los procesos del agente invoquen la línea de comandos giten, una ruta especificada por el atacante en el controlador. Esto permite que los atacantes puedan controlar los procesos del agente para invocar comandos arbitrarios del sistema operativo en el controlador.

IMPORTANTE: A partir de la publicación de este aviso, no hay solución.

  • CVE-2022-20612
    Vulnerabilidad CSRF en activadores de compilación 
  • CVE-2022-20613 - CVE-2022-20614
    Vulnerabilidad CSRF y verificaciones de permisos faltantes en Mailer Plugin 
  • CVE-2022-20618
    Las verificaciones de permisos faltantes en Bitbucket Branch Source Plugin permiten enumerar ID de credenciales
  • CVE-2022-20620
    Las comprobaciones de permisos faltantes en el complemento del agente SSH permiten enumerar ID de credenciales 
  • CVE-2022-23105
    Contraseñas de usuario transmitidas en texto sin formato por Active Directory Plugin
  • CVE-2022-23107
    Vulnerabilidad de cruce de ruta en el complemento de advertencias de próxima generación 
  • CVE-2022-23109
    Enmascaramiento de credenciales inadecuado en HashiCorp Vault Plugin
  • CVE-2022-23110
    Vulnerabilidad XSS almacenada en el complemento Publish Over SSH 
  • CVE-2022-23111 - CVE-2022-23112
    Vulnerabilidad CSRF y verificaciones de permisos faltantes en el complemento Publish Over SSH 
  • CVE-2022-23113
    Vulnerabilidad de cruce de ruta en el complemento Publish Over SSH 
  • CVE-2022-23115
    Vulnerabilidad CSRF en el complemento de tareas por lotes 
  • CVE-2022-23116
    El bypass de seguridad de agente a controlador en Conjur Secrets Plugin permite descifrar secretos 
  • CVE-2022-23117
    El bypass de seguridad de agente a controlador en Conjur Secrets Plugin permite recuperar todas las credenciales 

  • CVE-2022-20616
    La verificación de permisos faltantes en Credentials Binding Plugin permite validar ID de credenciales de archivos secretos 
  • CVE-2022-20621
    Clave de acceso almacenada en texto sin formato por Metrics Plugin 
  • CVE-2022-23106
    Comparación de tokens de tiempo no constante en Configuración como complemento de código 
  • CVE-2022-23114
    Contraseña almacenada en texto sin formato por Publish Over SSH Plugin 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #Complemento


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.