Jenkins ha publicado un nuevo aviso de seguridad que contempla 2 vulnerabilidades Medias. Estas fallas afectan a los complementos de Jenkins Weekly y LTS.
CVE-2021-43859 y CVE-2022-0538
Vulnerabilidad de denegación de servicios (DoS) en la librería XStream
Las versiones afectadas de los complementos Jenkins son vulnerables a CVE-2021-43859 de la biblioteca XStream. Esta biblioteca es utilizada por Jenkins para serializar y deserializar varios archivos XML, como global y job config.xml, build.xml, y muchos otros.
Esto permite que los atacantes puedan enviar archivos XML manipulados a Jenkins para ser analizados como configuración, por ejemplo, a través de la API POST config.xml, para causar una denegación de servicio (DoS).
Nota: Si bien la dependencia de XStream se actualizó anteriormente en el lanzamiento semanal 2.333, los cambios específicos de Jenkins en 2.334 son necesarios para que esté protegido.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://www.jenkins.io/security/advisory/2... |
Producto | Versión |
---|---|
Jenkins weekly |
anteriores a 2.334 |
Jenkins LTS |
anteriores a 2.319.3 |