Tercera actualización de seguridad para productos Jenkins

El servidor de automatización open source Jenkins, reportó un aviso de seguridad con  actualizaciones para sus productos con el fin de abordar multiples fallos de seguridad que afectan a productos como SWAMP, Snow Commander, HashiCorp y dbCharts entre otros

Estas CVE se distribuyen en 13 de severidad alta , 24 de severidad media y 3 consideradas como bajas acorde a la puntuación de  Common Vulnerability Score System. 

Vulnerabilidades de ejecución de comandos del sistema operativo en complementos relacionados con Pipeline

• CVE-2022-25173 (Canalización: Complemento Groovy)
• CVE-2022-25174 (Canalización: Bibliotecas Groovy compartidas)
• CVE-2022-25175 (Canalización: Multibranch)

Múltiples complementos relacionados con Pipeline que realizan comprobaciones de SCM en el controlador reutilizan el mismo directorio de espacio de trabajo para comprobaciones de distintos SCM en algunos contextos. Esto permite a los atacantes con permiso Item/Configure invocar comandos arbitrarios del sistema operativo en el controlador a través de contenidos SCM manipulados.

Vulnerabilidad de omisión de sandbox en Pipeline: Complemento de bibliotecas Groovy compartidas

• CVE-2022-25181

Pipeline: Complemento de bibliotecas de Groovy compartidas 552.vd9cc05b8a2e1 y versiones anteriores usan el mismo directorio de espacio de trabajo para todas las extracciones de bibliotecas de Pipeline con el mismo nombre, independientemente del SCM que se use y el origen de la configuración de la biblioteca. Esto permite a los atacantes con permiso Item/Configure ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins a través de contenidos SCM manipulados, si ya existe una biblioteca Pipeline global.

Vulnerabilidad de omisión de sandbox en Pipeline: Complemento de bibliotecas Groovy compartidas

• CVE-2022-25182

Pipeline: Complemento de bibliotecas Groovy compartidas 552.vd9cc05b8a2e1 y versiones anteriores usan los nombres de las bibliotecas de Pipeline para crear directorios sin canonicalización ni saneamiento. Esto permite a los atacantes con permiso Item/Configure ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins utilizando nombres de biblioteca especialmente diseñados si ya se ha configurado una biblioteca Pipeline global.

Vulnerabilidad de omisión de sandbox en Pipeline: Complemento de bibliotecas Groovy compartidas

• CVE-2022-25183

Pipeline: Complemento de bibliotecas Groovy compartidas 552.vd9cc05b8a2e1 y versiones anteriores utilizan los nombres de las bibliotecas de Pipeline para crear directorios de caché sin ninguna desinfección. Esto permite a los atacantes con permiso Item/Configure ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins utilizando nombres de biblioteca especialmente diseñados si ya existe una biblioteca Pipeline global configurada para usar el almacenamiento en caché. 

Vulnerabilidad XSS almacenada en el complemento Generic Webhook Trigger 

• CVE-2022-25185

El complemento Generic Webhook Trigger 1.81 y versiones anteriores no escapa a la causa de compilación del webhook. Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que los atacantes pueden explotar y desencadenar compilaciones mediante el webhook. El complemento Generic Webhook Trigger 1.82 escapa a la causa de compilación cuando se muestra en la interfaz de usuario.

Vulnerabilidad XSS almacenada en el complemento de parámetros de casilla de verificación personalizada 

• CVE-2022-25189

El complemento de parámetros de casilla de verificación personalizada 1.1 y versiones anteriores no escapa a los nombres de parámetros de los parámetros de casilla de verificación personalizados. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Elemento/Configurar.

Vulnerabilidad XSS almacenada en el complemento de parámetros del servidor del agente 

• CVE-2022-25191

Agent Server Parameter Plugin 1.0 y versiones anteriores no escapan a los nombres de parámetros de los parámetros del servidor de agentes. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Elemento/Configurar.

Vulnerabilidad XSS almacenada en Team Views Plugin 

• CVE-2022-25203

Team Views Plugin 0.9.0 y anteriores no escapan a los nombres de equipo. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permiso general/lectura.

La vulnerabilidad CSRF y las verificaciones de permisos faltantes en Chef Sinatra Plugin permiten XXE 

• CVE-2022-25207 (CSRF)
• CVE-2022-25208 (comprobación de permiso faltante)
• CVE-2022-25209 (XXE)

Chef Sinatra Plugin 1.20 y versiones anteriores no realizan una verificación de permisos en un método que implementa la validación de formularios. Esto permite a los atacantes con permiso general/de lectura hacer que Jenkins envíe una solicitud HTTP a una URL controlada por el atacante y que analice la respuesta como XML.

Como el complemento no configura su analizador XML para evitar ataques de entidad externa XML (XXE), los atacantes pueden hacer que Jenkins analice una respuesta XML manipulada que utiliza entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de solicitudes del lado del servidor. Además, este método de validación de formularios no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

La vulnerabilidad CSRF y las verificaciones de permisos faltantes en el complemento Checkmarx permiten capturar credenciales 

• CVE-2022-25200 (CSRF)
• CVE-2022-25201 (falta verificación de permisos)

Checkmarx Plugin 2022.1.2 y versiones anteriores no realizan comprobaciones de permisos en varios puntos finales HTTP. Esto permite a los atacantes con permiso general/de lectura conectarse a un servidor web especificado por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins.

Además, estos puntos finales HTTP no requieren solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

Vulnerabilidad de redirección abierta en el complemento de autenticación de GitLab 

• CVE-2022-25196

El complemento de autenticación de GitLab 1.13 y versiones anteriores registra el Refererencabezado HTTP como parte de los parámetros de consulta de URL cuando se inicia el proceso de autenticación y redirige a los usuarios a esa URL cuando el usuario ha terminado de iniciar sesión.

Esto permite a los atacantes con acceso a Jenkins crear una URL que redirigirá a los usuarios a una URL especificada por el atacante después de iniciar sesión.

La vulnerabilidad CSRF y la verificación de permisos faltantes en el complemento SWAMP permiten capturar credenciales 

• CVE-2022-25211 (comprobación de permiso faltante)
• CVE-2022-25212 (CSRF)

SWAMP Plugin 1.2.6 y anteriores no realizan una verificación de permisos en un método que implementa la validación de formularios. 

Esto permite a los atacantes con permiso general/de lectura conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins. Además, este método de validación de formularios no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

Vulnerabilidad CSRF y verificaciones de permisos faltantes en el complemento dbCharts 

• CVE-2022-25205 (CSRF)
• CVE-2022-25206 (comprobación de permiso faltante)

El complemento dbCharts 0.5.2 y versiones anteriores no realiza una verificación de permisos en un método que implementa la validación de formularios. Esto permite a los atacantes con permiso general/de lectura conectarse a una base de datos especificada por el atacante a través de JDBC utilizando las credenciales especificadas por el atacante.

Además, este método permite a los atacantes determinar si una clase está disponible en la ruta de clases del controlador Jenkins a través de mensajes de error. Además, este método de validación de formularios no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

Datos confidenciales almacenados en texto sin formato por Support Core Plugin 

• CVE-2022-25187

Support Core Plugin tiene una función para redactar información potencialmente confidencial en el paquete de soporte.

Support Core Plugin 2.79 y versiones anteriores no eliminan información confidencial en el paquete de soporte.

Cualquier persona con acceso al paquete puede ver esta información confidencial.

Support Core Plugin 2.79.1 agrega una lista de palabras clave cuyos valores asociados se redactarán.

Esta lista se almacena en el security-stop-words.txtarchivo ubicado en $JENKINS_HOME/supporty se puede modificar para agregar palabras clave adicionales para los valores que se deben redactar.

Vulnerabilidad de ruta transversal en el complemento Fortify 

• CVE-2022-25188

Fortify Plugin 20.2.34 y versiones anteriores no desinfectan los parámetros appNamey appVersionde sus pasos de canalización, que se usan para escribir en archivos dentro de los directorios de compilación.

Esto permite a los atacantes con permiso Item/Configure escribir o sobrescribir .xmlarchivos en el sistema de archivos del controlador Jenkins con contenido que el atacante no puede controlar.

Fortify Plugin 20.2.35 desinfecta los parámetros appNamey appVersionde sus pasos de Pipeline al determinar el nombre de archivo resultante.

Vulnerabilidad CSRF y verificación de permisos faltantes en el complemento del editor SCP 

• CVE-2022-25198 (CSRF)
• CVE-2022-25199 (falta verificación de permisos)

SCP Publisher Plugin 1.8 y anteriores no realizan una verificación de permisos en un método que implementa la validación de formularios. Esto permite a los atacantes con permiso general/de lectura conectarse a un servidor SSH especificado por el atacante utilizando el nombre de usuario y la contraseña especificados por el atacante.

Además, este método de validación de formularios no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

Vulnerabilidad XSS almacenada en el complemento de compilaciones promocionadas (simple) 

• CVE-2022-25202

El complemento de compilaciones promocionadas (simple) 1.9 y anteriores no escapan al nombre de niveles de promoción personalizados. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permiso general/administrador.

La verificación de permisos faltantes en Conjur Secrets Plugin permite enumerar ID de credenciales 

• CVE-2022-25190

Conjur Secrets Plugin 1.0.11 y versiones anteriores no realizan una verificación de permisos en un punto final HTTP. Esto permite a los atacantes con permiso general/de lectura enumerar los ID de las credenciales almacenadas en Jenkins. Esos pueden usarse como parte de un ataque para capturar las credenciales usando otra vulnerabilidad. Una enumeración de ID de credenciales en Conjur Secrets Plugin 1.0.12 requiere permiso general/administrador.

Vulnerabilidad de ruta transversal en HashiCorp Vault Plugin permite leer archivos arbitrarios 

CVE-2022-25197

HashiCorp Vault Plugin 336.v182c0fbaaeb7 y versiones anteriores implementan una funcionalidad que permite que los procesos del agente lean archivos arbitrarios en el sistema de archivos del controlador Jenkins. Esto permite que los atacantes puedan controlar los procesos del agente para leer archivos arbitrarios en el sistema de archivos del controlador Jenkins.A partir de la publicación de este aviso, no hay solución.

Las vulnerabilidades en múltiples complementos relacionados con Pipeline permiten leer archivos arbitrarios en el controlador 

• CVE-2022-25176 (Canalización: Complemento Groovy
• CVE-2022-25177 (Canalización: Bibliotecas Groovy compartidas)
• CVE-2022-25178 (Canalización: Bibliotecas Groovy compartidas)
• CVE-2022-25179 (Canalización: Multisucursal)

Múltiples complementos relacionados con Pipeline siguen enlaces simbólicos o no limitan los nombres de ruta, lo que genera vulnerabilidades de lectura de archivos arbitrarios. Esto permite a los atacantes configurar Pipelines para leer archivos arbitrarios en el sistema de archivos del controlador Jenkins.

Divulgación de información confidencial en Pipeline: Groovy Plugin 

• CVE-2022-25180

Pipeline: Groovy Plugin 2648.va9433432b33c y anteriores incluyen parámetros de contraseña de la compilación original en compilaciones reproducidas. Esto permite a los atacantes con permiso Ejecutar/Reproducir obtener los valores de los parámetros de contraseña pasados ​​a compilaciones anteriores de un Pipeline. Pipeline: Groovy Plugin 2656.vf7a_e7b_75a_457 no permite reproducir compilaciones que contienen parámetros de contraseña.

Valores predeterminados de parámetros de contraseña expuestos por Pipeline: Complemento de paso de compilación 

• CVE-2022-25184

Canalización: Complemento de paso de compilación 2.15 y versiones anteriores revelan los valores predeterminados de los parámetros de contraseña al generar un script de canalización mediante Pipeline Snippet Generator. Esto permite a los atacantes con permiso de elemento/lectura recuperar el valor del parámetro de contraseña predeterminado de los trabajos.

Canalización: Complemento de paso de compilación 2.15.1 redacta el parámetro de contraseña en el script de canalización generado.

La vulnerabilidad CSRF y las verificaciones de permisos faltantes en Snow Commander Plugin permiten capturar credenciales 

• CVE-2022-25192 (CSRF)
• CVE-2022-25193 (comprobación de permiso faltante)

Snow Commander Plugin 2.0 y versiones anteriores no realizan verificaciones de permisos en los métodos que implementan la validación de formularios. Esto permite a los atacantes con permiso general/de lectura conectarse a un servidor web especificado por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins.

Además, estos métodos de validación de formularios no requieren solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF). Snow Commander Plugin 2.0 requiere solicitudes POST y permiso general/administrador para los métodos de validación de formularios afectados.

Vulnerabilidad CSRF y verificación de permisos faltantes en el complemento autonomiq 

• CVE-2022-25194 (CSRF)
• CVE-2022-25195 (falta verificación de permisos)

Autonomiq Plugin 1.15 y anteriores no realizan una verificación de permisos en un punto final HTTP. Esto permite a los atacantes con permiso general/de lectura conectarse a una URL especificada por el atacante utilizando el nombre de usuario y la contraseña especificados por el atacante.

Además, este punto final HTTP no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF). l complemento autonomiq 1.16 requiere solicitudes POST y permiso general/administrador para este punto final HTTP.

CVE-2022-25204
Vulnerabilidad de omisión de seguridad de agente a controlador en Doktor Plugin 

Doktor Plugin 0.4.1 y versiones anteriores implementan una funcionalidad que permite que los procesos del agente representen archivos en el controlador como Markdown o Asciidoc. Además, los mensajes de error permiten a los atacantes controlar los procesos del agente para determinar si existe un archivo con un nombre dado.

CVE-2022-25210
Vulnerabilidad de sincronización faltante en el complemento de plataforma móvil Convertigo que permite capturar contraseñas 

Convertigo Mobile Platform Plugin 1.1 y versiones anteriores utilizan campos estáticos para almacenar información de configuración de trabajos. Esto permite a los atacantes con permiso Elemento/Configurar capturar contraseñas de los trabajos que se configurarán.

CVE-2022-25186
Omisión de seguridad de agente a controlador en HashiCorp Vault Plugin 

HashiCorp Vault Plugin 3.8.0 y versiones anteriores implementan una funcionalidad que permite que los procesos del agente recuperen cualquier secreto de Vault para usarlo en el agente.

Esto permite que los atacantes puedan controlar los procesos de los agentes para obtener secretos de Vault para una ruta y clave especificadas por el atacante. La funcionalidad que permite que los procesos del agente capturen el secreto de Vault ya no se puede usar en HashiCorp Vault Plugin 336.v182c0fbaaeb7.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.