Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades

El servidor Jenkins, publicó un aviso de seguridad que contiene 25 vulnerabilidades que se clasifican en 9 de severidad Alta, 15 de severidad Media y 1 de severidad Baja.

CVE-2022-45379 [CVSSv3: 8.0]
Vulnerabilidades de aprobación de script completo en Script Security Plugin vulnerable a colisiones SHA-1

El complemento de seguridad de secuencias de comandos 1189.vb_a_b_7c8fd5fde y versiones anteriores almacena las aprobaciones de secuencias de comandos completas, como el hash SHA-1 de la secuencia de comandos aprobada. Como es de conocimiento SHA-1 ya no cumple con los estándares de seguridad para producir un resumen de mensajes criptográficamente seguro.

El complemento de seguridad de secuencias de comandos 1190.v65867a_a_47126 usa SHA-512 para las nuevas aprobaciones de secuencias de comandos completas. Las secuencias de comandos aprobadas anteriormente tendrán su aprobación de secuencia de comandos completa basada en SHA-1 reemplazada por una aprobación de secuencia de comandos completa SHA-512 correspondiente la próxima vez que se utilice la secuencia de comandos.

• NOTA: La aprobación de secuencias de comandos completas solo almacena el hash SHA-1 o SHA-512, por lo que no es posible migrar todas las secuencias de comandos previamente aprobadas automáticamente al inicio.

Los administradores preocupados por los ataques de colisión SHA-1 en la función de aprobación de secuencias de comandos completas pueden revocar todas las aprobaciones de secuencias de comandos anteriores (SHA-1) en la página Aprobación de secuencias de comandos en proceso.

CVE-2022-45380  [CVSSv3: 8.0]
Vulnerabilidad XSS almacenada en JUnit Plugin

El complemento JUnit 1159.v0b_396e1e07dd y versiones anteriores convierte las URL HTTP(S) en la salida del informe de prueba en enlaces en los que se puede hacer clic.

Esto se hace de manera insegura, lo que da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada, que pueden explotar los atacantes con Item/Configure permission.

El complemento JUnit 1160.vf1f01a_a_ea_b_7f ya no convierte las URL en enlaces en los que se puede hacer clic.

CVE-2022-33980  [CVSSv3: 8.8]
Vulnerabilidad de ejecución remota de código en el complemento Pipeline Utility Steps

Pipeline Utility Steps Plugin implementa un readProperties Pipeline Steps admite la interpolación de variables utilizando la biblioteca de configuración de Apache Commons.

Pipeline Utility Steps Plugin 2.13.0 y versiones anteriores no restringen el conjunto de interpoladores de prefijos habilitados y agrupa las versiones de esta biblioteca con la vulnerabilidad CVE-2022-33980.

Esta vulnerabilidad permite a los atacantes configurar Pipelines para ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.

Pipeline Utility Steps Plugin 2.13.1 incluye la versión 2.8.0 de la biblioteca de configuración de Apache Commons, que desactiva los interpoladores de prefijos problemáticos de forma predeterminada.

CVE-2022-45381 [CVSSv3: 7.5]
Vulnerabilidad de lectura de archivos arbitrarios en el complemento Pipeline Utility Steps

Pipeline Utility Steps Plugin 2.13.1 y versiones anteriores no restringen el conjunto de interpoladores de prefijos habilitados y agrupa las versiones de esta biblioteca que habilitan el file:prefix interpolator por defecto.

Esto permite a los atacantes configurar Pipelines para leer archivos arbitrarios del sistema de archivos del controlador Jenkins.

Pipeline Utility Steps Plugin 2.13.2 restringe el conjunto de interpoladores de prefijos habilitados de manera predeterminada a base64Decoder[:], base64Encoder[:], date[:], urlDecoder[:] y urlEncoder[:].

CVE-2022-45382 [CVSSv3: 8.0]
Vulnerabilidad XSS almacenada en el complemento Naginator

Naginator Plugin 1.18.1 y versiones anteriores no escapan a los nombres para mostrar de las compilaciones de origen en las compilaciones que se activaron mediante la acción Retry.

Esto da como resultado una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS), almacenada que pueden explotar los atacantes que pueden editar los nombres para mostrar de las compilaciones.

CVE-2022-43415 [CVSSv3: 8.0]
Vulnerabilidad XSS almacenada en el complemento BART

BART Plugin 1.0.3 y versiones anteriores no escapan al contenido analizado de los registros de compilación antes de representarlo en la interfaz de usuario de Jenkins.

Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con Item/Configure permission.

• Nota: Al momento de la publicación de este aviso, no hay solución.

CVE-2022-45388 [CVSSv3: 7.5]
Vulnerabilidad de lectura de archivos arbitrarios en el complemento Config Rotator

Config Rotator Plugin 2.0.1 y versiones anteriores no restringen un parámetro de consulta de nombre de archivo en un extremo HTTP.

Esto permite a atacantes no autenticados leer archivos arbitrarios con [.]xmlextensión en el sistema de archivos del controlador Jenkins.

• Nota: Al momento de la publicación de este aviso, no hay solución.

CVE-2022-45400 [CVSSv3: 7.1]
Vulnerabilidad XXE en el complemento JAPEX

APEX Plugin 1.7 y anteriores no configuran su analizador XML para evitar ataques de entidad externa XML (XXE).

Esto permite a los atacantes controlar los archivos de entrada XML para el paso posterior a la compilación "Registrar el informe de prueba de Japex" para que Jenkins analice un archivo diseñado que utiliza entidades externas para la extracción de secretos del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

• Nota: Al momento de la publicación de este aviso, no hay solución.

CVE-2022-45401 [CVSSv3: 7.5]
Vulnerabilidad XSS almacenada en el complemento de archivos asociados

El complemento de archivos asociados 0.2.1 y versiones anteriores no escapa a los nombres de los archivos asociados.

Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con Item/Configure permission.

• Nota: Al momento de la publicación de este aviso, no hay solución.

CVE-2022-45383 [CVSSv3: 4.3]
Comprobaciones de permisos incorrectas en Support Core Plugin

CVE-2022-45385 [CVSSv3: 5.3]
Falta de mecanismo de autenticación para webhook en CloudBees Docker Hub/Registry Notification Plugin

CVE-2022-45392 [CVSSv3: 4.3]
Contraseñas almacenadas en texto sin formato por NS-ND Integration Performance Publisher Plugin 

CVE-2022-45391[CVSSv3: 5.9]
Validación de certificados SSL/TLS deshabilitada global e incondicionalmente por el complemento NS-ND Integration Performance Publisher 

CVE-2022-38666 [CVSSv3: 5.9]
Validación de certificados SSL/TLS inhabilitada incondicionalmente por el complemento NS-ND Integration Performance Publisher

CVE-2022-45386 [CVSSv3: 5.4]
Vulnerabilidad XXE en agentes en Violations Plugin

CVE-2022-45389 [CVSSv3: 5.3]
Falta de mecanismo de autenticación para webhook en XP-Dev Plugin

CVE-2022-45390 [CVSSv3: 4.3]
La verificación de permisos faltantes en el complemento loader.io permite enumerar ID de credenciales

CVE-2022-45393, CVE-2022-45394 [CVSSv3: 4.3]
Vulnerabilidad CSRF y verificación de permisos faltantes en el complemento de registro de eliminación

CVE-2022-45395 [CVSSv3: 5.4]
Vulnerabilidad XXE en agentes en CCCC Plugin

CVE-2022-45396 [CVSSv3: 5.4]
Vulnerabilidad XXE en agentes en el complemento SourceMonitor

CVE-2022-45397 [CVSSv3: 5.4]
Vulnerabilidad XXE en agentes en OSF Builder Suite : : XML Linter Plugin 

CVE-2022-45398, CVE-2022-45399 [CVSSv3: 4.3]
Vulnerabilidad CSRF y verificación de permisos faltantes en el complemento de estadísticas de clúster

CVE-2022-45384 [CVSSv3: 3.3]
Contraseña almacenada en texto sin formato por el complemento de autenticación de proxy inverso

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.