Aviso de seguridad de Jenkins contiene múltiples vulnerabilidades

El servidor Jenkins, publicó un aviso de seguridad que contiene 28 vulnerabilidades que se distribuyen en: 17 de severidad Alta , 8 de severidad Media y 3 de severidad Baja.

NOTA: Varias de estas vulnerabilidades no tienen parches de seguridad para mitigar estas fallas.

CVE-2022-30945 [CVSS 3.1: 7.5]
Sandbox bypass vulnerability through implicitly allowlisted platform Groovy files in Pipeline: Groovy Plugin

En Pipeline el  complemento de Groovy 2689.v434009a_31b_f1 y versiones anteriores, todos los archivos fuente de Groovy incluidos con el núcleo de Jenkins y los complementos se pueden cargar de esta manera y ejecutar sus métodos. Si hay disponible un archivo fuente de Groovy adecuado en la ruta de clase de Jenkins, se pueden omitir las protecciones de la zona de pruebas.

Los archivos Groovy source en complementos públicos destinados a ejecutarse en canalizaciones de espacio aislado se identificaron y agregaron a una lista de permitidos. El nuevo punto de extensión org.jenkinsci.plugins.workflow.cps.GroovySourceFileAllowlist permite que los complementos agreguen archivos de origen Groovy específicos a esa lista de permitidos si es necesario, pero se desaconseja la creación de Pipeline DSL específicos de complementos.

Si bien la gravedad de este problema se declara Alta debido al impacto potencial, se considera muy poco probable que se produzca una explotación exitosa.

CVE-2022-30971, CVE-2022-30972 [CVSS 3.1: 7.1]
XXE vulnerability in Storable Configs Plugin 

El complemento de configuraciones almacenables 1.0 y versiones anteriores no configura su analizador XML para evitar ataques de entidad externa XML (XXE).

Esto permite a los atacantes con permiso Item/Configure hacer que Jenkins analice un archivo manipulado que utiliza entidades externas para la extracción de data importante del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

Además, el extremo HTTP que llama al analizador XML no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

NOTA: A partir de la publicación de este aviso, no existen actualizaciones de seguridad para mitigar esta vulnerabilidad.

CVE-2022-30958, CVE-2022-30959 [CVSS 3.1: 7.1 ]
CSRF vulnerability and missing permission checks in SSH Plugin allow capturing credentials

SSH Plugin 2.6.1 y versiones anteriores no realizan una verificación de permisos en un punto final HTTP.

Esto permite a los atacantes con permiso Overall/Read conectarse a un servidor SSH especificado por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otros métodos, capturando las credenciales almacenadas en Jenkins.

Además, este punto final no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

NOTA: A partir de la publicación de este aviso, no existen actualizaciones de seguridad para mitigar esta vulnerabilidad.

CVE-2022-30970 [CVSS 3.1: 8.0]
Stored XSS vulnerability in Autocomplete Parameter Plugin 

Autocomplete Parameter Plugin  1.1 y versiones anteriores, hace referencia a los nombres de los parámetros de autocompletar desplegable y cadena de autocompletar de una manera no segura desde Javascript incrustado en las definiciones de vista.

Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Item/Configure.

NOTA: A partir de la publicación de este aviso, no existen actualizaciones de seguridad para mitigar esta vulnerabilidad.

CVE-2022-30969 [CVSS 3.1: 8.8]
CSRF vulnerability in Autocomplete Parameter Plugin results in RCE 

Autocomplete Parameter Plugin 1.1 y versiones anteriores, no requieren solicitudes POST para un punto final de validación de formularios que ejecuta un script Groovy proporcionado, lo que genera una vulnerabilidad de falsificación de solicitud entre sitios (CSRF).

Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario sin protección de sandbox si la víctima es un administrador.

NOTA: A partir de la publicación de este aviso, no existen actualizaciones de seguridad para mitigar esta vulnerabilidad.

CVE-2022-30956 [CVSS 3.1: 8.0]
Stored XSS vulnerability in Rundeck Plugin

Rundeck Plugin 3.6.10 y versiones anteriores no restringen los esquemas de URL en los envíos de webhooks de Rundeck.

Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que pueden explotar los atacantes capaces de enviar cargas útiles de webhook de Rundeck manipuladas.

CVE-2022-30960, CVE-2022-30961, CVE-2022-30962, CVE-2022-30963, CVE-2022-30964, CVE-2022-30965, CVE-2022-30966, CVE-2022-30967, CVE-2022-30968 [CVSS 3.1: 8.0]
Stored XSS vulnerabilities in multiple plugins providing additional parameter types

Múltiples complementos no escapan al nombre y la descripción de los tipos de parámetros que proporcionan.

Esto da como resultado vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) almacenadas que los atacantes pueden explotar con el permiso Item/Configure

La explotación de estas vulnerabilidades requiere que los parámetros se enumeren en otra página, como las páginas "Build With Parameters" y "Parameters" proporcionadas por Jenkins (núcleo), y que esas páginas no estén reforzadas para evitar la explotación.

Los siguientes complementos se han actualizado para escapar del nombre y la descripción de los tipos de parámetros que proporcionan en las versiones especificadas:

• Application Detector Plugin 1.0.9
• Multiselect parameter Plugin 1.4

No hay una solución disponible para el resto de los complementos. Para más detalles revise el sitio de Jenkins aviso SECURITY-2717.

• CVE-2022-30952 [CVSS 3.1: 5.3]
  User-scoped credentials exposed to other users by Pipeline SCM API for Blue Ocean Plugin 
• CVE-2022-30946 [CVSS 3.1: 4.3 ]
  CSRF vulnerability in Script Security Plugin 
• CVE-2022-30957 [CVSS 3.1: 4.3]
  Missing permission check in SSH Plugin allows enumerating credentials IDs 
• CVE-2022-30953, CVE-2022-30954 [CVSS 3.1: 4.3]
  CSRF vulnerability and missing permission checks in Blue Ocean Plugin 
• CVE-2022-30950, CVE-2022-30951[CVSS 3.1: 4.2]
  Multiple vulnerabilities in Windows Remote Command library in WMI Windows Agents Plugin 
• CVE-2022-30955 [CVSS 3.1: 4.3]
  Missing permission check in GitLab Plugin allows enumerating credentials IDs 

• CVE-2022-30947, CVE-2022-30948, CVE-2022-30949 [CVSS 3.1: 3.7]
  Multiple SCM plugins can check out from the controller file system 

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.