Jenkins publica múltiples correcciones de seguridad para sus complementos

El servidor Jenkins, publicó un aviso de seguridad que contiene 44 vulnerabilidades que se distribuyen en: 20 de severidad Alta , 22  de severidad Media y 2 de severidad Baja.

NOTA: Varias de estas vulnerabilidades no tienen parches de seguridad para mitigar estas fallas.

CVE-2022-34176
Vulnerabilidad XSS almacenada en JUnit Plugin

JUnit Plugin 1119.va_a_5e9068da_d7 y anteriores no escapan a las descripciones de los resultados de las pruebas. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permiso Ejecutar/Actualizar. El complemento JUnit 1119.1121.vc43d0fc45561 aplica el formateador de marcado configurado a las descripciones de los resultados de las pruebas.

CVE-2022-34177
Vulnerabilidad de escritura de archivo arbitrario en Pipeline: Complemento de paso de entrada 

Pipeline: Complemento de paso de entrada 448.v37cea_9a_10a_70 y versiones anteriores permite a los autores de Pipeline especificar parámetros ‘file’ para los input steps de Pipeline aunque no sean compatibles. Aunque el archivo cargado no se copia en el espacio de trabajo, Jenkins guarda el archivo en el controlador como parte de los metadatos de compilación utilizando el nombre del parámetro sin saneamiento como una ruta relativa dentro de un directorio relacionado con la compilación.

Esto permite a los atacantes configurar Pipelines para crear o reemplazar archivos arbitrarios en el sistema de archivos del controlador Jenkins con contenido especificado por el atacante.

Pipeline: el complemento de paso de entrada 449.v77f0e8b_845c4 prohíbe el uso de parámetros ‘file’  para los input steps de Pipeline. Los intentos de usarlos fallarán en la ejecución de Pipeline.

CVE-2022-34178
Vulnerabilidad XSS reflejada en el complemento de estado de compilación incrustable

Complemento de estado de compilación incrustable 2.0.3 permite especificar un parámetro ‘link’ de consulta al que se vincularán las insignias de estado de compilación, sin restringir los valores posibles. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada.

Complemento de estado de compilación incrustable 2.0.4 limita las URL http y los protocolos https y escapa correctamente del valor proporcionado.

CVE-2022-34182
Vulnerabilidad XSS reflejada en el complemento de vista anidada

El complemento de vista anidada 1.20 a 1.25 (ambos inclusive) no escapa a los parámetros de búsqueda. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejada. El complemento de vista anidada 1.26 escapa a los parámetros de búsqueda.

CVE-2022-34183, CVE-2022-34184, CVE-2022-34185, CVE-2022-34186, CVE -2022-34187, CVE-2022-34188 , CVE-2022-34189, CVE-2022-34190, CVE-2022-34191, CVE-2022-34192, CVE-2022-34193, CVE-2022-34194 , CVE-2022-34195, CVE- 2022-34196, CVE-2022-34197, CVE-2022-34198
Múltiples complementos no escapan al nombre y la descripción de los tipos de parámetros que proporcionan

Esto da como resultado vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) almacenadas que los atacantes pueden explotar con el permiso Elemento/Configurar.

La explotación de estas vulnerabilidades requiere que los parámetros se enumeren en otra página, como las páginas "Construir con parámetros" y "Parámetros" proporcionadas por Jenkins (núcleo), y que esas páginas no estén reforzadas para evitar la explotación. Jenkins (núcleo) ha impedido la explotación de vulnerabilidades de este tipo en las páginas "Construir con parámetros" y "Parámetros" desde 2.44 y LTS 2.32.2 como parte de la corrección SECURITY-353/CVE-2017-2601. Además, varios complementos se han actualizado previamente para enumerar parámetros de una manera que evita la explotación de forma predeterminada; consulte SECURITY-2617 en el aviso de seguridad 2022-04-12 para obtener una lista .

• CVE-2022-34170, CVE-2022-34171, CVE-2022-34172, CVE-2022-34173
  Múltiples vulnerabilidades XSS 
• CVE-2022-34174
  La discrepancia de tiempo observable permite determinar la validez del nombre de usuario
• CVE-2022-34175
  Acceso no autorizado a fragmentos de vista
• CVE-2022-34179
  Vulnerabilidad de ruta transversal en el complemento de estado de compilación incrustable
• CVE-2022-34180
  La autorización incorrecta en el complemento de estado de compilación incrustable omite el requisito de permiso de ViewStatus 
• CVE-2022-34181
  Omisión de seguridad de agente a controlador en el complemento xUnit
• CVE-2022-34199
  Contraseñas almacenadas en texto sin formato por Convertigo Mobile Platform Plugin
• CVE-2022-34200, CVE-2022-34201
  Vulnerabilidad CSRF y verificaciones de permisos faltantes en el complemento de plataforma móvil Convertigo 
• CVE-2022-34203, CVE-2022-34204
  Vulnerabilidad CSRF y verificaciones de permisos faltantes en EasyQA Plugin
• CVE-2022-34205, CVE-2022-34206
  Vulnerabilidad CSRF y verificaciones de permisos faltantes en el complemento de notificación de Jianliao
• CVE-2022-34207, CVE-2022-34208
  Vulnerabilidad CSRF y verificaciones de permisos faltantes en el complemento Beaker builder
• CVE-2022-34209, CVE-2022-34210
  Vulnerabilidad CSRF y comprobación de permisos faltantes en el complemento ThreadFix 
• CVE-2022-34211, CVE-2022-34212
  Vulnerabilidad CSRF y comprobación de permisos faltantes en el complemento de vRealize Orchestrator 

• CVE-2022-34202
  Contraseñas de usuario almacenadas en texto sin formato por EasyQA Plugin
• CVE-2022-34213
  Contraseñas almacenadas en texto sin formato por Squash TM Publisher (Squash4Jenkins) Complemento

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.