Un nuevo aviso de seguridad de Jenkins aborda múltiples vulnerabilidades

29 Marzo 2022
Alto

El servidor de automatización open source Jenkins, publicó un aviso de seguridad que contiene 29 vulnerabilidades que se distribuyen en 8 de severidad Alta , 18 de severidad Media y 3 consideradas como Bajas.



 

CVE-2022-28133
Vulnerabilidad XSS almacenada en el complemento de integración del servidor Bitbucket 

Vulnerabilidad de secuencias de comando entre sitios (XSS) almacenadas que pueden ser explotadas por los atacantes capaces de crear consumidores BitBucket Server. Esto es posible ya que Bitbucket Server Integration Plugin no limita los esquemas de URL para las URL de devolución de llamada en los consumidores OAuth.

 

CVE-2022-28140
Vulnerabilidad XXE en el complemento Flaky Test Handler 

Esta vulnerabilidad no configura su analizador XML para evitar ataques de entidad externa XML (XXE) lo cual permite a los atacantes con permiso Item/configure hacer que Jenkins analice un archivo manipulado que utiliza entidades externas para la extracción de información valiosa del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

 

CVE-2022-28145
Vulnerabilidad XSS en Integración Continua con Toad Edge Plugin

Se utiliza una bifurcación parcheada de una versión anterior del explorador de archivos para espacios de trabajo, artefactos archivados y user Content de Directory Browser Support para entregar informes. Esto elimina la Content-Security-Policy lo que resulta un cross-site scripting (XSS) almacenado que pueden explotar los atacantes con el permiso item/configure o permitiéndoles controlar la data del informe.

 

CVE-2022-28149
Vulnerabilidad XSS almacenada en el complemento de propiedad de trabajos y nodos 

Vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso item/configure, ya que el complemento no analiza a los nombres de los propietarios secundarios.

  • NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.

 

CVE-2022-28153
Vulnerabilidad XSS almacenada en el complemento SiteMonitor 

Site Monitor Plugin no analiza las URL de los sitios para monitorear la información sobre las herramientas. Esto resulta en una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que puede ser usada por los atacantes con el permiso item/configure.

  • NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.

 

CVE-2022-28154
Vulnerabilidad XXE en el complemento de gráfico de dispersión de cobertura/complejidad 

No se configura el analizador XML para evitar ataques de entidad externa XML (XXE), esto permite a los atacantes controlar los archivos de entrada para el paso posterior a la compilación “Public Coverage/Complexity Scatter Plot” para que Jenkins analice un archivo manipulado que utiliza entidades externas para la extracción de información valiosa del controlador Jenkins o la falsificación de solicitudes del servidor.

  • NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.

 

CVE-2022-28155
Vulnerabilidad XXE en Pipeline: Phoenix Auto Test Plugin 

Esta vulnerabilidad no configura su analizador XML para evitar ataques de entidad externa XML (XXE), esto permite a los atacantes controlar los archivos de entrada para el paso read Xml o write Xml. De esta forma, Jenkins analiza un archivo diseñado que utiliza entidades externas para la extracción de información valiosa del controlador de Jenkins o la falsificación de solicitudes del servidor.

  • NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.

 

CVE-2022-28159
Vulnerabilidad XSS almacenada en el complemento Selector de pruebas 

No se analiza la opción “ruta del archivo de propiedades” para elegir parámetros de pruebas, esto resulta en una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso item/configure.

  • NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.



 

  • CVE-2022-28134
    Faltan comprobaciones de permisos en el complemento de integración del servidor de Bitbucket. 
  • CVE-2022-28136 - CVE-2022-28137
    Vulnerabilidad CSRF y comprobación de permisos faltantes en el complemento JiraTest Result Reporter.
  • CVE-2022-28138 - CVE-2022-28139
    Vulnerabilidad CSRF y verificación de permisos faltantes en el complemento RocketChat Notifier.
  • CVE-2022-28142
    Validación de certificados SSL/TLS deshabilitada globalmente por Proxmox Plugin.
  • CVE-2022-28143 - CVE-2022-28144
    Vulnerabilidad CSRF y verificaciones de permisos faltantes en Proxmox Plugin. 
  • CVE-2022-28146
    Vulnerabilidad de lectura de archivos arbitrarios en la integración continua con el complemento Toad Edge. 
  • CVE-2022-28147
    Falta la verificación de permisos en la integración continua con el complemento Toad Edge. 
  • CVE-2022-28148
    Vulnerabilidad de cruce de ruta en Windows en integración continua con el complemento Toad Edge. 
  • CVE-2022-28150 - CVE-2022-28151
    Vulnerabilidad CSRF y comprobación de permisos faltantes en el complemento de propiedad de trabajos y nodos. 
  • CVE-2022-28152
    Vulnerabilidad CSRF en el complemento de propiedad de trabajos y nodos. 
  • CVE-2022-28156
    Vulnerabilidad de ruta transversal en Pipeline: Phoenix AutoTest Plugin permite leer archivos arbitrarios.
  • CVE-2022-28157
    Vulnerabilidad de lectura de archivos arbitrarios en Pipeline: Phoenix AutoTest Plugin. 
  • CVE-2022-28158
    Verificaciones de permisos faltantes en Pipeline: Phoenix AutoTest Plugin permite enumerar ID de credenciales.
  • CVE-2022-28160
    Vulnerabilidad de lectura de archivos arbitrarios en el complemento selector de pruebas. 

 


 

  • CVE-2022-28135
    Contraseñas almacenadas en texto sin formato mediante el complemento de mensajería instantánea.
  • CVE-2022-28141
    Contraseña almacenada en texto sin formato por Proxmox Plugin.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Parche #Vulnerabilidades #Jenkins


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.