Jenkins publica aviso de seguridad que afecta a sus complementos
21 Marzo 2023Amenaza
El servidor open source Jenkins, publicó un aviso de seguridad que contiene 18 vulnerabilidades que se clasifican en: 13 de severidad alta y 5 de severidad media, para los siguientes complementos:
- Complemento AbsInt a³
- Convert To Pipeline Plugin
- Complemento Cppcheck
- Complemento Crap4J
- Complemento JaCoCo
- Complemento Mashup Portlets
- Complemento de prueba de carga OctoPerf
- Complemento de prueba de carga OctoPerf
- Complemento de prueba de carga OctoPerf
- Complemento de Performance Publisher
- Complemento diferencial de Phabricator
- Pipeline Aggregator View Plugin
- Complemento remote-jobs-view-plugin
- Complemento de estrategia de autorización basada en roles
- Complemento de métricas de código de Visual Studio
Nota Importante: A partir de la publicación de este aviso, no hay soluciones disponibles para los siguientes complementos:
- Complemento AbsInt a³
- Complemento Convertir a canalización
- Complemento Cppcheck
- Complemento Crap4J
- Complemento de portlets de Mashup
- Complemento de publicador de rendimiento
- Complemento diferencial de fabricante
- Complemento de visualización de trabajos remotos
- Complemento de métricas de código de Visual Studio
Por lo que las actualizaciones al memento de éste aviso, solo estarán disponibles para los siguientes complementos:
- El complemento JaCoCo debe actualizarse a la versión 3.3.2.1
- Complemento de prueba de carga de OctoPerf El complemento debe actualizarse a versiones superiores a 4.5.1
- Pipeline Aggregator View Plugin debe actualizarse a la versión 1.14
- El complemento de estrategia de autorización basada en roles debe actualizarse a la versión 587.588.v850a_20a_30162
CVE-2023-28669
Vulnerabilidad XSS almacenada en el plugin JaCoCo
La vulnerabilidad da lugar a una secuencias de comandos en sitios cruzados (XSS) almacenada, explotable por atacantes capaces de controlar los archivos de entrada para la acción posterior a la compilación "Grabar informe de cobertura de JaCoCo".
CVE-2023-28670
Vulnerabilidad XSS almacenada en el plugin Pipeline Aggregator View
Esta vulnerabilidad permite una secuencias de comandos en sitios cruzados (XSS) almacenada que puede ser explotada por atacantes autenticados con permiso Overall/Read.
CVE-2023-28672
Falta la comprobación de permisos en el plugin OctoPerf Load Testing Plugin
Esta vulnerabilidad permite a los atacantes con permiso Overall/Read conectarse a una URL especificada por el atacante utilizando ID de credenciales especificadas por el atacante obtenidas a través de otro método, capturando credenciales almacenadas en Jenkins.
CVE-2023-28676
Falta la comprobación de permisos en el plugin OctoPerf Load Testing Plugin
La vulnerabilidad permite a los atacantes crear un Pipeline basado en un proyecto Freestyle. En combinación con SECURITY-2966, esto puede dar lugar a la ejecución de scripts de Pipeline no protegidos.
CVE-2023-28677
Falta la comprobación de permisos en el plugin OctoPerf Load Testing Plugin
Esto permite a los atacantes capaces de configurar proyectos de Freestyle preparar una configuración manipulada que inyecte código de script de Pipeline en el Pipeline (no protegido) resultante de una conversión realizada por el complemento Convert To Pipeline. Si un administrador convierte el proyecto Freestyle a un Pipeline, el script será pre-aprobado.
CVE-2023-28678
Vulnerabilidad XSS almacenada en el plugin Cppcheck
Esto da lugar a una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada, explotable por atacantes capaces de controlar el contenido de los archivos de informe.
CVE-2023-28679
Vulnerabilidad XSS almacenada en el plugin Mashup Portlets
Esto da lugar a una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada, explotable por atacantes autenticados con permiso Overall/Read.
CVE-2023-28680
Vulnerabilidad XXE en el plugin Crap4J
Esto permite a los atacantes capaces de controlar el contenido del archivo Crap Report hacer que Jenkins analice un documento XML manipulado que utiliza entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de peticiones del lado del servidor.
CVE-2023-28681
Vulnerabilidad XXE en el complemento de métricas de código de Visual Studio
Esto permite a los atacantes capaces de controlar el contenido del archivo de métricas de código de VS hacer que Jenkins analice un documento XML manipulado que utiliza entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de solicitudes del lado del servidor.
CVE-2023-28682
Vulnerabilidad XXE en el complemento Performance Publisher
Esto permite a los atacantes capaces de controlar los archivos de informe de PerfPublisher hacer que Jenkins analice un documento XML manipulado que utiliza entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de peticiones del lado del servidor.
CVE-2023-28683
Vulnerabilidad XXE en el plugin diferencial de Phabricator
Esto permite a los atacantes capaces de controlar los contenidos del archivo de informe de cobertura para la acción de post-construcción 'Post to Phabricator' hacer que Jenkins analice un documento XML manipulado que utiliza entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de peticiones del lado del servidor.
CVE-2023-28684
Vulnerabilidad XXE en el plugin remote-jobs-view-plugin
Esto permite a atacantes autenticados con permiso Overall/Read hacer que Jenkins analice un documento XML manipulado que utiliza entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de peticiones del lado del servidor.
CVE-2023-28685
Vulnerabilidad XXE en AbsInt a³ Plugin
Esto permite a los atacantes capaces de controlar el contenido de 'Project File (APX)' hacer que Jenkins analice un documento XML manipulado que utiliza entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de peticiones del lado del servidor.
CVE-2023-28668
Comprobaciones de permisos incorrectas en el complemento de estrategia de autorización basada en funciones
CVE-2023-28671
Vulnerabilidad CSRF en el plugin OctoPerf Load Testing Plugin
CVE-2023-28673
Falta comprobación de permisos en OctoPerf Load Testing Plugin Plugin permite enumerar IDs de credenciales
CVE-2023-28674, CVE-2023-28675
Vulnerabilidad CSRF y falta de comprobación de permisos en el plugin OctoPerf Load Testing Plugin
Mitigación
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
El listado de las CVE se adjunta a continuación:
| https://www.jenkins.io/security/advisory/2... |
- Productos Afectados
-
Producto Versión AbsInt a³ Plugin Anteriores inclusive 1.1.0
Convert To Pipeline Plugin Anteriores
inclusive 1.0
Cppcheck Plugin Anteriores inclusive 1.26
Crap4J Plugin Anteriores inclusive 0.9
JaCoCo Plugin Anteriores inclusive 3.3.2
Mashup Portlets Plugin Anteriores inclusive 1.1.2
OctoPerf Load Testing Plugin Plugin Anteriores inclusive 4.5.2
Performance Publisher Plugin Anteriores inclusive 8.09
Phabricator Differential Plugin Anteriores inclusive 2.1.5
Pipeline Aggregator View Plugin Anteriores inclusive 1.13
remote-jobs-view-plugin Plugin Anteriores inclusive 0.0.3
Role-based Authorization Strategy Plugin Anteriores inclusive 587.v2872c41fa_e51
Visual Studio Code Metrics Plugin Anteriores inclusive 1.7