Un nuevo aviso de seguridad de Jenkins aborda múltiples vulnerabilidades
29 Marzo 2022Amenaza
El servidor de automatización open source Jenkins, publicó un aviso de seguridad que contiene 29 vulnerabilidades que se distribuyen en 8 de severidad Alta , 18 de severidad Media y 3 consideradas como Bajas.
CVE-2022-28133
Vulnerabilidad XSS almacenada en el complemento de integración del servidor Bitbucket
Vulnerabilidad de secuencias de comando entre sitios (XSS) almacenadas que pueden ser explotadas por los atacantes capaces de crear consumidores BitBucket Server. Esto es posible ya que Bitbucket Server Integration Plugin no limita los esquemas de URL para las URL de devolución de llamada en los consumidores OAuth.
CVE-2022-28140
Vulnerabilidad XXE en el complemento Flaky Test Handler
Esta vulnerabilidad no configura su analizador XML para evitar ataques de entidad externa XML (XXE) lo cual permite a los atacantes con permiso Item/configure hacer que Jenkins analice un archivo manipulado que utiliza entidades externas para la extracción de información valiosa del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.
CVE-2022-28145
Vulnerabilidad XSS en Integración Continua con Toad Edge Plugin
Se utiliza una bifurcación parcheada de una versión anterior del explorador de archivos para espacios de trabajo, artefactos archivados y user Content de Directory Browser Support para entregar informes. Esto elimina la Content-Security-Policy lo que resulta un cross-site scripting (XSS) almacenado que pueden explotar los atacantes con el permiso item/configure o permitiéndoles controlar la data del informe.
CVE-2022-28149
Vulnerabilidad XSS almacenada en el complemento de propiedad de trabajos y nodos
Vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso item/configure, ya que el complemento no analiza a los nombres de los propietarios secundarios.
- NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.
CVE-2022-28153
Vulnerabilidad XSS almacenada en el complemento SiteMonitor
Site Monitor Plugin no analiza las URL de los sitios para monitorear la información sobre las herramientas. Esto resulta en una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que puede ser usada por los atacantes con el permiso item/configure.
- NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.
CVE-2022-28154
Vulnerabilidad XXE en el complemento de gráfico de dispersión de cobertura/complejidad
No se configura el analizador XML para evitar ataques de entidad externa XML (XXE), esto permite a los atacantes controlar los archivos de entrada para el paso posterior a la compilación “Public Coverage/Complexity Scatter Plot” para que Jenkins analice un archivo manipulado que utiliza entidades externas para la extracción de información valiosa del controlador Jenkins o la falsificación de solicitudes del servidor.
- NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.
CVE-2022-28155
Vulnerabilidad XXE en Pipeline: Phoenix Auto Test Plugin
Esta vulnerabilidad no configura su analizador XML para evitar ataques de entidad externa XML (XXE), esto permite a los atacantes controlar los archivos de entrada para el paso read Xml o write Xml. De esta forma, Jenkins analiza un archivo diseñado que utiliza entidades externas para la extracción de información valiosa del controlador de Jenkins o la falsificación de solicitudes del servidor.
- NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.
CVE-2022-28159
Vulnerabilidad XSS almacenada en el complemento Selector de pruebas
No se analiza la opción “ruta del archivo de propiedades” para elegir parámetros de pruebas, esto resulta en una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso item/configure.
- NOTA: Al momento de la publicación de esta vulnerabilidad no existe solución.
- CVE-2022-28134
Faltan comprobaciones de permisos en el complemento de integración del servidor de Bitbucket. - CVE-2022-28136 - CVE-2022-28137
Vulnerabilidad CSRF y comprobación de permisos faltantes en el complemento JiraTest Result Reporter. - CVE-2022-28138 - CVE-2022-28139
Vulnerabilidad CSRF y verificación de permisos faltantes en el complemento RocketChat Notifier. - CVE-2022-28142
Validación de certificados SSL/TLS deshabilitada globalmente por Proxmox Plugin. - CVE-2022-28143 - CVE-2022-28144
Vulnerabilidad CSRF y verificaciones de permisos faltantes en Proxmox Plugin. - CVE-2022-28146
Vulnerabilidad de lectura de archivos arbitrarios en la integración continua con el complemento Toad Edge. - CVE-2022-28147
Falta la verificación de permisos en la integración continua con el complemento Toad Edge. - CVE-2022-28148
Vulnerabilidad de cruce de ruta en Windows en integración continua con el complemento Toad Edge. - CVE-2022-28150 - CVE-2022-28151
Vulnerabilidad CSRF y comprobación de permisos faltantes en el complemento de propiedad de trabajos y nodos. - CVE-2022-28152
Vulnerabilidad CSRF en el complemento de propiedad de trabajos y nodos. - CVE-2022-28156
Vulnerabilidad de ruta transversal en Pipeline: Phoenix AutoTest Plugin permite leer archivos arbitrarios. - CVE-2022-28157
Vulnerabilidad de lectura de archivos arbitrarios en Pipeline: Phoenix AutoTest Plugin. - CVE-2022-28158
Verificaciones de permisos faltantes en Pipeline: Phoenix AutoTest Plugin permite enumerar ID de credenciales. - CVE-2022-28160
Vulnerabilidad de lectura de archivos arbitrarios en el complemento selector de pruebas.
- CVE-2022-28135
Contraseñas almacenadas en texto sin formato mediante el complemento de mensajería instantánea. - CVE-2022-28141
Contraseña almacenada en texto sin formato por Proxmox Plugin.
Mitigación
Se recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
El listado de las CVE se adjunta a continuación:
CVE-2022-28145
CVE-2022-28140
CVE-2022-28140
CVE-2022-28154
CVE-2022-28153
CVE-2022-28159
CVE-2022-28149
CVE-2022-28133
CVE-2022-28150
CVE-2022-28151
CVE-2022-28152
CVE-2022-28142
CVE-2022-28143
CVE-2022-28144
CVE-2022-28136
CVE-2022-28137
CVE-2022-28138
CVE-2022-28139
CVE-2022-28160
CVE-2022-28146
CVE-2022-28147
CVE-2022-28134
CVE-2022-28148
CVE-2022-28156
CVE-2022-28157
CVE-2022-28158
CVE-2022-28141
CVE-2022-28135
Tags: #Parche #Vulnerabilidades #Jenkins
| https://www.jenkins.io/security/advisory/2... |
- Productos Afectados
-
Producto Versión Complemento de integración del servidor de Bitbucket Anteriores a 3.2.0
Integración continua con Toad Edge Plugin Anteriores a 2.4
Complemento de gráfico de dispersión de cobertura, complejidad 1.1.1 y anteriores
Complemento Flaky Test Handler Anteriores a 1.2.2
Complemento de mensajería instantánea Anteriores a 1.42
Complemento Jira Test Result Reporter Anteriores a 166.v0cc6208295b5
Complemento de propiedad de trabajos y nodos 0.13.0 y anteriores
Pipeline Phoenix Auto Test Plugin 1.3 y anteriores
Complemento Proxmox Anteriores a 0.7.1
Complemento Rocket Chat Notifier Anteriores a 1.5.0
Complemento de SiteMonitor 0.6 y anteriores
Tests Selector Plugin 1.3.3 y anteriores