Nuevo aviso de seguridad en Jenkins

El servidor open source Jenkins, publicó un aviso de seguridad que contiene 36 vulnerabilidades que se clasifican en 9 de severidad Alta, 26 de severidad Media, y 1 de severidad Baja, afectando a complementos como:

• Ansible Plugin
• AppSpider Plugin
• Azure VM Agents Plugin
• CAS Plugin
• Code Dx Plugin
• Email Extension Plugin
• File Parameter Plugin
• HashiCorp Vault Plugin
• LDAP Plugin
• LoadComplete support Plugin
• NS-ND Integration Performance Publisher Plugin
• Pipeline Utility Steps Plugin
• Pipeline: Job Plugin
• Reverse Proxy Auth Plugin
• SAML Single Sign On(SSO) Plugin
• Sidebar Link Plugin
• Tag Profiler Plugin
• TestComplete support Plugin
• TestNG Results Plugin
• WSO2 Oauth Plugin

CVE-2023-32977

Vulnerabilidad XSS almacenada en Pipeline: Job Plugin

Esta vulnerabilidad provoca que se aborte una compilación cuando se establece en “No permitir compilaciones concurrentes”

Esto da lugar a una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que puede ser explotada por atacantes capaces de establecer los nombres de visualización de las compilaciones de forma inmediata.

CVE-2023-32984

Vulnerabilidad XSS almacenada en el plugin TestNG Results 

Varios valores que se analizan desde archivos de informes TestNG y se muestran en las páginas de información de pruebas del plugin.

Esto da lugar a una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que puede ser explotada por atacantes capaces de proporcionar un archivo de informe TestNG manipulado.

CVE-2023-32986
Vulnerabilidad XSS almacenada en el plugin TestNG Results 

Esta vulnerabilidad permite que los atacantes con permiso Item/Configure crear o reemplazar archivos arbitrarios en el sistema de archivos del controlador Jenkins con contenido especificado por el atacante.

CVE-2023-32991, CVE-2023-32992

Vulnerabilidad CSRF y falta de comprobación de permisos en el complemento SAML Single Sign On(SSO) Plugin allow XXE

La vulnerabilidad permite a los atacantes con permiso Overall/Read enviar una petición HTTP a una URL especificada por el atacante y analizar la respuesta como XML, o analizar un archivo local en el controlador Jenkins como XML.

Como el complemento no configura su analizador XML para evitar ataques de entidad externa XML (XXE), los atacantes pueden hacer que Jenkins analice una respuesta XML manipulada que utilice entidades externas para la extracción de secretos del controlador Jenkins o la falsificación de solicitudes del lado del servidor.

Además, estos puntos finales HTTP no requieren solicitudes POST, lo que resulta en una vulnerabilidad de falsificación de solicitud de sitio cruzado (CSRF).

CVE-2023-32997
Vulnerabilidad de fijación de sesión en el plugin CAS

La vulnerabilidad permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.

CVE-2023-33002
Vulnerabilidad XSS almacenada en el plugin de soporte TestComplete

La vulnerabilidad da lugar a unas secuencias de comandos en sitios cruzados (XSS) almacenada explotable por atacantes con permiso Item/Configure.

CVE-2023-33005
Vulnerabilidad de fijación de sesión en WSO2 Oauth Plugin

El plugin WSO2 Oauth 1.0 y anteriores no invalida la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.

CVE-2023-33007
Vulnerabilidad XSS almacenada en el plugin de soporte LoadComplete

El plugin de soporte LoadComplete 1.0 y anteriores no escapa del nombre de la prueba LoadComplete en su página de resultados de la prueba.

Esto da lugar a una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenadas explotable por atacantes con permiso Item/Configure.

CVE-2023-32978
Vulnerabilidad CSRF en el plugin LDAP

CVE-2023-32979
Falta la comprobación de permisos en el plugin de extensión de correo electrónico

CVE-2023-32980
Vulnerabilidad CSRF en el plugin Email Extension

CVE-2023-32981
Vulnerabilidad de escritura arbitraria de archivos en agentes en el plugin Pipeline Utility

CVE-2023-32982, CVE-2023-32983
Secretos almacenados y mostrados en texto plano por el plugin de Ansible

CVE-2023-32985
Vulnerabilidad de path traversal en Sidebar Link Plugin

CVE-2023-32987
Vulnerabilidad CSRF en Reverse Proxy Auth Plugin

CVE-2023-32988
Falta comprobación de permisos en Azure VM Agents Plugin permite enumerar IDs de credenciales

CVE-2023-32989, CVE-2023-32990
CSRF vulnerability and missing permission checks in Azure VM Agents Plugin

CVE-2023-32993
Falta la validación del nombre de host en el complemento SAML Single Sign On(SSO)

CVE-2023-32994
Validación de certificados SSL/TLS deshabilitada incondicionalmente por el plugin SAML

CVE-2023-32995, CVE-2023-32996, CVE-2023-2195, CVE-2023-2631
Vulnerabilidad CSRF y falta de comprobación de permisos en el plugin Code Dx

CVE-2023-2196 
Faltan comprobaciones de permisos en el plugin Code Dx

CVE-2023-2632,  CVE-2023-2633
Claves API almacenadas y mostradas en texto plano por el plugin Code Dx

CVE-2023-32998,  CVE-2023-32999
Vulnerabilidad CSRF y falta de comprobación de permisos en el plugin AppSpider

CVE-2023-33001
Enmascaramiento inadecuado de credenciales en HashiCorp Vault Plugin

CVE-2023-33003,  CVE-2023-33004
Vulnerabilidad CSRF y falta de comprobación de permisos en el plugin Tag Profiler

CVE-2023-33006
Vulnerabilidad CSRF en WSO2 Oauth Plugin

CVE-2023-33000
Credenciales mostradas sin enmascarar por NS-ND Integration Performance Publisher Plugin

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.