Jenkins publica un nuevo aviso de seguridad para múltiples complementos

16 Marzo 2022
Alto

 

El servidor de automatización open source Jenkins, publicó un aviso de seguridad que contiene 24 vulnerabilidades que se distribuyen en 8 de severidad Alta , 13 de severidad Media y 3 consideradas como Bajas.


 

CVE-2022-27210 - CVE-2022-27211
La vulnerabilidad CSRF y las verificaciones de permisos faltantes en Kubernetes Continuous Deploy Plugin permiten capturar credenciales

Las versiones afectadas de Kubernetes Continuous Deploy no realizan una verificación de permisos en un extremo HTTP. Esto permite a los atacantes con permiso “general/de lectura” conectarse a un servidor SSH especificado por el atacante utilizando ID de credenciales obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins. Es importante destacar que este endpoints no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

NOTA: A partir de la publicación de este aviso, no hay solución.

 

CVE-2022-27212
Vulnerabilidad XSS almacenada en List Git Branches Parameter Plugin 

Las versiones afectadas de List Git Branches Parameter escapan al nombre o valor predeterminado del parámetro 'List Git branch (and more)'. Además, el complemento de parámetros List Git Branches deshabilita explícitamente un mecanismo de protección introducido en Jenkins 2.44 y LTS 2.32.2 para evitar la explotación de nombres de parámetros sin escape.

Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso “Item/Configurar”.

NOTA: A partir de la publicación de este aviso, no hay solución.

 

CVE-2022-27196
Vulnerabilidad XSS almacenada en el complemento favorito

El complemento Favorites en versiones 2.4.0 y anteriores no escapan a los nombres de los trabajos en la columna de favoritos. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permisos Item/Configurar” o “Item/Crear”. 

CVE-2022-27197
Vulnerabilidad XSS almacenada en Dashboard View Plugin 

Las versiones afectadas de Dashboard View no realizan la validación de URL para este mismo de origen del Iframe Portlet. Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que los atacantes pueden aprovechar para configurar vistas.

CVE-2022-27201
Omisión de seguridad de agente a controlador en el complemento de control de versiones semántico 

El complemento de control de versiones semántico define un mensaje de “controlador/agente” que procesa un archivo dado como XML y devuelve información de la versión. El analizador XML no está configurado para evitar ataques de entidad externa XML (XXE), lo que solo es un problema si los documentos XML se analizan en el controlador Jenkins.

El complemento de control de versiones semánticas 1.13 y anteriores no restringe la ejecución del mensaje del "controlador/agente” a los agentes y no implementa limitaciones sobre la ruta del archivo que se puede analizar. Esto permite a los atacantes ser capaces de controlar los procesos de los agentes para que Jenkins analice un archivo manipulado que utiliza entidades externas para la extracción de información sensible del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

NOTA: Esta vulnerabilidad solo se puede explotar en Jenkins 2.318 y versiones anteriores, LTS 2.303.2 y versiones anteriores. Consulte la guía de actualización de LTS.

 

CVE-2022-27202
Vulnerabilidad XSS almacenada en el complemento de parámetros de opción extendid

El complemento de parámetros de opción extendida 346.vd87693c5a_86c y anteriores no escapan al valor y la descripción de los parámetros de opción extendida con el tipo de parámetro 'Botones de opción' o 'Casillas de verificación'. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso “Item/Configurar”.

NOTA: A partir de la publicación de este aviso, no hay solución.

 

CVE-2022-27213
Vulnerabilidad XSS almacenada en el complemento Environment Dashboard

Las versiones afectadas de Environment Dashboard no escapan al orden del entorno y los valores de configuración del orden de los componentes en sus vistas, dando como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permiso Ver/Configurar.

NOTA: A partir de la publicación de este aviso, no hay solución.

 


 

  • CVE-2022-27198 - CVE-2022-27199
    Vulnerabilidad CSRF y verificaciones de permisos faltantes en CloudBees AWS Credentials Plugin.
  • CVE-2022-27200
    Vulnerabilidad XSS almacenada en el complemento de estrategia de autorización basada en carpetas.
  • CVE-2022-27203
    Vulnerabilidad de lectura de archivo de propiedades y JSON arbitrario en el complemento de parámetros de opción extendida. 
  • CVE-2022-27204 - CVE-2022-27205
    La vulnerabilidad CSRF y las verificaciones de permisos faltantes en el complemento de parámetros de opción extendida permiten SSRF. 
  • CVE-2022-27207
    Vulnerabilidad XSS almacenada en el complemento global-build-stats.
  • CVE-2022-27208
    Vulnerabilidad de lectura de archivos arbitrarios en el complemento de implementación continua de Kubernetes. 
  • CVE-2022-27209
    Las verificaciones de permisos faltantes en el complemento de implementación continua de Kubernetes permiten enumerar ID de credenciales. 
  • CVE-2022-27214 - CVE-2022-27215
    Vulnerabilidad CSRF y verificaciones de permisos faltantes en el complemento Release Helper. 
  • CVE-2022-27217
    Contraseñas almacenadas en texto sin formato por Vmware vRealize CodeStream Plugin.
  • CVE-2022-27218
    Tokens personales almacenados en texto sin formato por incapptic connect uploader Plugin.

 


 

  • CVE-2022-27206
    Secreto del cliente almacenado en texto sin formato por el complemento de autenticación de GitLab.
  • CVE-2022-27195  
    Valores de parámetros confidenciales capturados en archivos de metadatos de compilación por Complemento de activación parametrizada.
  • CVE-2022-27216
    Contraseñas almacenadas en texto sin formato por dbCharts Plugin.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Parche #Vulnerabilidades #Jenkins #CloudBees AWS Credentials #VMware #GitLab Authentication


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.