Un nuevo aviso de seguridad de Jenkins aborda múltiples vulnerabilidades

14 Abril 2022
Alto

 

El servidor de automatización open source Jenkins, publicó un aviso de seguridad que contiene 17 vulnerabilidades que se distribuyen en 13 de severidad Alta y 4 de severidad Media.

Al momento de esta publicación aun existen 2 productos afectados que no presentan solución: Extended Choice Parameter Plugin y Job Generator Plugin.

 

 

CVE-2022-29036
Cross-site scripting (XSS) vulnerability - Credentials 

No omite el nombre y la descripción de los parámetros Credentials en las vistas que muestran parámetros, lo que genera una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada explotable por atacantes con permiso Item/Configure.

CVE-2022-29037
Cross-site scripting (XSS) vulnerability - CVS Symbolic Name parameters

No omite el nombre y la descripción de los parámetros de nombre simbólico de CVS en la vista que muestra los parámetros, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso  Item/Configure.

CVE-2022-29038
Cross-site scripting (XSS) vulnerability - Extended Choice Parameter

No omiten el nombre y la descripción de los parámetros de Extended Choice en las vistas que muestran los parámetros, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permiso Item/Configure.

CVE-2022-29039
Cross-site scripting (XSS) vulnerability - Gerrit Trigger

No omiten el nombre y la descripción de los parámetros de cadena codificada Base64 en las vistas que muestran parámetros, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Item/Configure.

CVE-2022-29040
Cross-site scripting (XSS) vulnerability - Git Parameter

No omiten el nombre y la descripción de los parámetros de Git en las vistas que muestran los parámetros, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Item/Configure.

CVE-2022-29041
Cross-site scripting (XSS) vulnerability - Jira

No omiten el nombre y la descripción de los parámetros de Jira Issue y Jira Release en las vistas que muestran los parámetros, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permiso Item/ Configure.

CVE-2022-29042
Cross-site scripting (XSS) vulnerability - Job Generator

No omiten el nombre y la descripción de los parámetros Generator Parameter y Generator Choice en las vistas Build With Parameters de trabajos de Job Generator, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permiso Item/Configure.

CVE-2022-29043
Cross-site scripting (XSS) vulnerability - Mask Passwords

No omiten el nombre y la descripción de los parámetros de contraseña no almacenada en las vistas que muestran parámetros, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas que pueden explotar los atacantes con el permiso Item/Configure.

CVE-2022-29044
Cross-site scripting (XSS) vulnerability - Node and Label Parameter

No omiten el nombre, la descripción de los parámetros de nodo y etiquetas en las vistas que muestran parámetros, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Item/Configure.

CVE-2022-29045
Cross-site scripting (XSS) vulnerability - Promoted builds

No omiten el nombre y la descripción de los parámetros de compilación promocionada en las vistas que muestran parámetros, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que los atacantes pueden explotar con permiso  Item/Configure.

CVE-2022-29046
Cross-site scripting (XSS) vulnerability - Subversion

No omiten el nombre y la descripción de las etiquetas de subversión de lista (y más) parámetros en las vistas que muestran parámetros, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Item/Configure.

CVE-2022-29047
Untrusted users can modify some Pipeline libraries in Pipeline: Shared Groovy Libraries Plugin 

La protección no se aplica a los usos del library paso con un argumento  retriever que apunta a una biblioteca en el repositorio y la rama de la compilación actual. Esto permite a los atacantes que pueden enviar solicitudes de extracción (o equivalente), pero que no pueden comprometerse directamente con el SCM configurado, cambiar de manera efectiva el comportamiento de Pipeline cambiando el comportamiento de la biblioteca en su solicitud de extracción, incluso si Pipeline está configurado para no confiar en ellos. .

CVE-2022-29049
Promotion names in promoted builds Plugin are not validated when using Job DSL 

No se validan los nombres de las promociones definidas en Job DSL. Esto permite a los atacantes con permiso Job/Configure crear una promoción con un nombre no seguro. Como resultado, el nombre de la promoción podría usarse para secuencias de comandos entre sitios (XSS) o para reemplazar otros archivos config.xml.

 

 

CVE-2022-29048
CSRF vulnerability in Subversion Plugin 

No se requieren solicitudes POST para varios métodos de validación de formularios, lo que genera vulnerabilidades de falsificación de solicitudes entre sitios (CSRF). Esta vulnerabilidad permite a los atacantes conectarse a una URL especificada por el atacante.

CVE-2022-29050 / CVE-2022-29051
CSRF vulnerability and missing permission checks in Publish Over FTP Plugin 

No se realizan comprobaciones de permisos en los métodos que implementan la validación de formularios, esto permite a los atacantes con permiso overall/read conectarse a un servidor FTP utilizando las credenciales especificadas por el atacante.

Además, estos métodos de validación de formularios no requieren solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

CVE-2022-29052
Private key stored in plain text by Google Compute Engine Plugin  

Se almacenan claves privadas sin cifrar en archivos config.xml de agentes en la nube en el controlador Jenkins como parte de su configuración. Estas claves privadas pueden ser vistas por usuarios con permiso Agent/Extended Read o acceso al sistema de archivos del controlador Jenkins.

 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante cuando estas se encuentren disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

 

El listado de las CVE se adjunta a continuación:


Tags: #Parche #Vulnerabilidades #Jenkins


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.