Jenkins publica nuevo aviso de seguridad con múltiples vulnerabilidades

El servidor Jenkins, publicó un aviso de seguridad que contiene 7 vulnerabilidades que se clasifican en 4 de severidad Alta y 3 de severidad Media.

CVE-2022-46682 [CVSSv3: 7.1]
Vulnerabilidad XXE en Plot Plugin 

El complemento Plot Plugin 2.1.11 y versiones anteriores no está configurado su analizador XML para evitar ataques de entidad externa XML (XXE).

Esto permite que los atacantes puedan controlar los archivos de entrada XML para el paso de compilación 'Plot build data' para que Jenkins analice un archivo diseñado que usa entidades externas para la extracción de información del controlador Jenkins o la falsificación de solicitudes del lado del servidor.

CVE-2022-46684  [CVSSv3: 7.5]
Vulnerabilidad XSS almacenada en el complemento Checkmarx 

El complemento Checkmarx Plugin procesa las respuestas de la API del servicio Checkmarx y genera informes HTML a partir de ellas para representarlas en la interfaz de usuario de Jenkins.

Checkmarx Plugin 2022.3.3 y versiones anteriores no escapan a los valores devueltos por la API del servicio Checkmarx antes de insertarlos en los informes HTML. Esto da como resultado una vulnerabilidad de cross-site scripting  (XSS) almacenada.

Nota: 
Si bien los usuarios de Jenkins sin permiso Overall/Administer no pueden configurar la URL del servicio Checkmarx, esto aún podría explotarse a través de ataques de intermediarios.

CVE-2022-46686  [CVSSv3: 8.0]
Vulnerabilidad XSS almacenada en Custom Build Properties Plugin

Custom Build Properties Plugin 2.79.vc095ccc85094 no escapa a los valores de propiedad ni a los nombres para mostrar las Custom Build Properties y Build Summary pages.

Esto da como resultado una vulnerabilidad de cross-site scripting (XSS) almacenada que los atacantes pueden aprovechar para establecer o cambiar estos valores.

CVE-2022-46687 [CVSSv3: 8.0]
Vulnerabilidad XSS almacenada en Spring Config Plugin 

Spring Config Plugin 2.0.0 y versiones anteriores no escapan build display names que se muestran en la vista Spring Config.

Esto da como resultado una vulnerabilidad de cross-site scripting (XSS) almacenada que los atacantes pueden explotar y cambiar los build display names.

CVE-2022-46683 [CVSSv3: 5.4]
Vulnerabilidad de redirección abierta en el complemento de inicio de sesión de Google

El complemento de inicio de sesión de Google 1.4 a 1.6 (ambos inclusive) determina incorrectamente que una URL de redirección después del inicio de sesión apunta legítimamente a Jenkins.

Esto permite a los atacantes realizar ataques de phishing al hacer que los usuarios vayan a una URL de Jenkins que los reenviará a un sitio diferente después de una autenticación exitosa.

CVE-2022-46685 [CVSSv3: 4.3]
Vulnerabilidad de Improper credentials masking en Gitea Plugin 

Gitea Plugin admite la autenticación con tokens de acceso personal de Gitea.

En Gitea Plugin 1.4.4 y versiones anteriores, la implementación de estos tokens no admitía el enmascaramiento de credenciales. Esto puede exponer los tokens de acceso personal de Gitea en el registro de compilación, por ejemplo, cuando se imprimen como parte de las URL del repositorio.

Nota: 
Se recomienda a los administradores que no puedan actualizar que utilicen SSH checkout en su lugar.

CVE-2022-45392 [CVSSv3: 5.4]
Vulnerabilidad CSRF en Sonar Gerrit Plugin 

Sonar Gerrit Plugin 377.v8f3808963dc5 y anteriores no requieren solicitudes POST para un punto final HTTP, lo que genera una vulnerabilidad de falsificación de solicitud entre sitios (CSRF).

Esto permite a los atacantes hacer que Jenkins se conecte a los servidores Gerrit (previamente configurados por los administradores de Jenkins) utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, lo que podría capturar las credenciales almacenadas en Jenkins.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.