Jenkins publica un segundo aviso de seguridad en junio con 42 vulnerabilidades
30 Junio 2022Amenaza
El servidor Jenkins, publicó un aviso de seguridad que contiene 42 vulnerabilidades que se distribuyen en: 12 de severidad Alta , 20 de severidad Media y 10 de severidad Baja.
CVE-2022-34777
Vulnerabilidad XSS almacenada en GitLab Plugin
GitLab Plugin 1.5.34 y anteriores no escapan a múltiples valores proporcionados por el usuario que se muestran como parte del caso de compilación de compilaciones activadas por webhook. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Elemento/Configurar.
CVE-2022-34778
Vulnerabilidad XSS en el complemento de resultados de TestNG
TestNG Results Plugin tiene opciones en su configuración de pasos posteriores a la compilación para no escapar de las descripciones de las pruebas y los mensajes de excepción. Si esas opciones no están marcadas, TestNG Results Plugin 554.va4a552116332 y versiones anteriores representan el texto sin escape proporcionado en los resultados de la prueba. Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) explotable por atacantes capaces de configurar trabajos o controlar los resultados de las pruebas.
CVE-2022-34783
Vulnerabilidad XSS almacenada en Plot Plugin
Plot Plugin 2.1.10 y anteriores no escapan a las descripciones de las tramas. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Elemento/Configurar.
- Nota: A partir de la publicación de este aviso, no hay solución.
CVE-2022-34784
Vulnerabilidad XSS almacenada en el complemento build-metrics
build-metrics Plugin 1.3 no escapa a la descripción de compilación en una de sus vistas. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permiso de compilación/actualización.
- Nota: A partir de la publicación de este aviso, no hay solución.
CVE-2022-34786
Vulnerabilidad XSS almacenada en Rich Text Publisher Plugin
Rich Text Publisher Plugin 1.4 y versiones anteriores no escapan al mensaje HTML establecido por su paso posterior a la compilación. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que los atacantes pueden aprovechar para configurar trabajos.
- Nota: A partir de la publicación de este aviso, no hay solución.
CVE-2022-34787
Vulnerabilidad XSS en el complemento de herencia del proyecto
Project Inheritance Plugin 21.04.03 y anteriores no escapan a la razón por la que una compilación está bloqueada en la información sobre herramientas. Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) explotable por atacantes capaces de controlar la razón por la que se bloquea un elemento de la cola.
- Nota: A partir de la publicación de este aviso, no hay solución.
CVE-2022-34788
Vulnerabilidad XSS almacenada en Matrix Reloaded Plugin
Matrix Reloaded Plugin 1.1.3 y versiones anteriores no omiten el nombre del agente en la información sobre herramientas. Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que pueden explotar los atacantes con el permiso Agente/Configurar.
- Nota: A partir de la publicación de este aviso, no hay solución.
CVE-2022-34790
Vulnerabilidad XSS almacenada en eXtreme Feedback Panel Plugin
eXtreme Feedback Panel Plugin 2.0.1 y anteriores no escapan a los nombres de trabajo utilizados en la información sobre herramientas. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Elemento/Configurar.
- Nota: A partir de la publicación de este aviso, no hay solución.
CVE-2022-34791
Vulnerabilidad XSS almacenada en el complemento de validación de parámetros de correo electrónico
La validación del complemento de parámetros de correo electrónico 1.10 y versiones anteriores no escapa al nombre y la descripción de su tipo de parámetro.
Además, deshabilita el refuerzo de seguridad agregado en Jenkins 2.44 y LTS 2.32.2 como parte de la corrección SECURITY-353/CVE-2017-2601 que protege las páginas "Construir con parámetros" y "Parámetros" de vulnerabilidades como esta de manera predeterminada. Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con el permiso Elemento/Configurar.
- Nota: A partir de la publicación de este aviso, no hay solución.
CVE-2022-34792 - CVE-2022-34793 (XXE) - CVE-2022-34794
La vulnerabilidad CSRF y las verificaciones de permisos faltantes en el complemento de receta permiten XXE
Recipe Plugin 1.2 y versiones anteriores no realizan una verificación de permisos en múltiples puntos finales HTTP. Esto permite a los atacantes con permiso general/de lectura enviar una solicitud HTTP a una URL especificada por el atacante y analizar la respuesta como XML.
Como el complemento no configura su analizador XML para evitar ataques de entidad externa XML (XXE), los atacantes pueden hacer que Jenkins analice una respuesta XML manipulada que utiliza entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de solicitudes del lado del servidor.
- Nota: A partir de la publicación de este aviso, no hay solución.
- CVE-2022-34779
Las verificaciones de permisos faltantes en XebiaLabs XL Release Plugin permiten enumerar ID de credenciales - CVE-2022-34780 - CVE-2022-34781
La vulnerabilidad CSRF y las verificaciones de permisos faltantes en XebiaLabs XL Release Plugin permiten capturar credenciales - CVE-2022-34782
Comprobación de permiso incorrecta en el complemento de solicitudes El complemento permite ver las solicitudes pendientes - CVE-2022-34785
Faltan comprobaciones de permisos en el complemento de métricas de compilación - CVE-2022-34789
Vulnerabilidad CSRF en el complemento Matrix Reloaded - CVE-2022-34795
Vulnerabilidad XSS almacenada en el complemento del panel de implementación - CVE-2022-34796
Las verificaciones de permisos faltantes en el complemento del panel de implementación permiten enumerar ID de credenciales - CVE-2022-34797 - CVE-2022-34798
Vulnerabilidad CSRF y verificaciones de permisos faltantes en el complemento del panel de implementación - CVE-2022-34803 - CVE-2022-34804
Clave de API almacenada en texto sin formato por OpsGenie Plugin - CVE-2022-34810
La verificación de permisos faltantes en el complemento RQM permite enumerar ID de credenciales - CVE-2022-34811
Verificación de permisos faltantes en el complemento del visor de configuración de XPath que permite acceder a la página del visor de configuración de XPath - CVE-2022-34812 - CVE-2022-34813
Vulnerabilidad CSRF y verificaciones de permisos faltantes en el complemento XPath Configuration Viewer - CVE-2022-34814
Comprobación de permiso incorrecta en Solicitar cambio de nombre o complemento de eliminación - CVE-2022-34815
Vulnerabilidad CSRF en el complemento Solicitar cambio de nombre o eliminación - CVE-2022-34817 - CVE-2022-34818
La vulnerabilidad CSRF y las comprobaciones de permisos faltantes en el complemento Desactivador de trabajo fallido permiten deshabilitar trabajos
- CVE-2022-34799
Contraseña almacenada en texto sin formato por el complemento del panel de implementación - CVE-2022-34800 - CVE-2022-34801
Tokens almacenados en texto sin formato por Complemento de notificaciones de compilación - CVE-2022-34802
Secretos almacenados en texto sin formato por RocketChat Notifier Plugin - CVE-2022-34805
Contraseña almacenada en texto sin formato por el complemento de notificación de Skype - CVE-2022-34806
Contraseña almacenada en texto sin formato por Jigomerge Plugin - CVE-2022-34807
Contraseña almacenada en texto sin formato por Elasticsearch Query Plugin - CVE-2022-34808
Token almacenado en texto sin formato por Cisco Spark Plugin - CVE-2022-34809
Contraseña almacenada en texto sin formato por RQM Plugin - CVE-2022-34816
Contraseñas almacenadas en texto sin formato por HPE Network Virtualization Plugin
Mitigación
Se recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
El listado de las CVE se adjunta a continuación:
CVE-2022-34777
CVE-2022-34778
CVE-2022-34783
CVE-2022-34784
CVE-2022-34786
CVE-2022-34787
CVE-2022-34788
CVE-2022-34790
CVE-2022-34791
CVE-2022-34792
CVE-2022-34793
CVE-2022-34794
CVE-2022-34779
CVE-2022-34780
CVE-2022-34781
CVE-2022-34782
CVE-2022-34785
CVE-2022-34789
CVE-2022-34795
CVE-2022-34796
CVE-2022-34797
CVE-2022-34798
CVE-2022-34803
CVE-2022-34804
CVE-2022-34810
CVE-2022-34811
CVE-2022-34812
CVE-2022-34813
CVE-2022-34814
CVE-2022-34815
CVE-2022-34817
CVE-2022-34818
CVE-2022-34799
CVE-2022-34800
CVE-2022-34801
CVE-2022-34802
CVE-2022-34805
CVE-2022-34806
CVE-2022-34807
CVE-2022-34808
CVE-2022-34809
CVE-2022-34816
Tags: #Parche #Jenkins #Vulnerabilidades
| https://www.jenkins.io/security/advisory/2... |
- Productos Afectados
-
Producto Versión XebiaLabs XL Release anteriores a 22.0.0
GitLab anteriores a 1.5.34
Recipe anteriores a 1.2
Project Inheritance anteriores a 21.04.03
Plot anteriores a 2.1.10
Deployment Dashboard anteriores a 1.0.10
Matrix Reloaded anteriores a 1.1.3
Validating Email Parameter anteriores a 1.10
Request Rename Or Delete anteriores a 1.1.0
HPE Network Virtualization anteriores a 1.0
Jigomerge anteriores a 0.9
TestNG Results anteriores a 554.va4a552116332
XPath Configuration Viewer anteriores a 1.1.1
Elasticsearch Query anteriores a 1.2
Cisco Spark anteriores a 1.1.1
requests-plugin anteriores a 2.2.16
build-metrics anteriores a 1.3
Build Notification anteriores a 1.5.0
Rich Text Publisher anteriores a 1.4
Skype notifier anteriores a 1.1.0
OpsGenie anteriores a 1.9
eXtreme Feedback Panel anteriores a 2.0.1
Failed Job Deactivator anteriores a 1.2.1
RocketChat Notifier anteriores a 1.5.2
RQM anteriores a 2.8