Aviso de seguridad para complementos Jenkins

Jenkins ha publicado 1 nuevo aviso de seguridad que contempla 9 vulnerabilidad, de las cuales 3 de ellas son de severidad Alta, 4 son de severidad Media y 2 de severidad Baja. Estas fallas de seguridad afectan a complementos como:

• Jenkins weekly
• Jenkins LTS
• Build Failure Analyzer Plugin

CVE-2023-43495
Vulnerabilidad XSS almacenada 

Expandable Details Note permite anotar el contenido del registro de construcción con información adicional que puede ser revelada cuando se interactúa con él. Esto resulta en una vulnerabilidad de cross-site scripting (XSS) almacenada explotable por atacantes capaces de proporcionar los valores del parámetro caption.

CVE-2023-43496
Archivo de complemento temporal creado con permisos inseguros

Si estos permisos son excesivamente permisivos, pueden permitir a atacantes con acceso al sistema de archivos del controlador de Jenkins leer y escribir el archivo antes de que se instale en Jenkins, lo que podría resultar en la ejecución de código arbitrario.

Esta vulnerabilidad sólo afecta a los sistemas operativos que utilizan un directorio temporal compartido para todos los usuarios (normalmente Linux). Además, los permisos predeterminados para los archivos recién creados generalmente sólo permiten a los atacantes leer el archivo temporal, pero no escribir en él.

Nota: Si no puede actualizar Jenkins inmediatamente, puede cambiar su directorio de archivo temporal predeterminado utilizando la propiedad del sistema Java java.io.tmpdir.

CVE-2023-43499
Vulnerabilidad XSS almacenada en el complemento Build Failure Analyzer 

Esto da lugar a una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada que puede ser aprovechada por atacantes capaces de crear o actualizar causas de fallos en los builds logs.

CVE-2023-43494
Las compilaciones se pueden filtrar por valores de variables de compilación sensibles

CVE-2023-43500, CVE-2023-43501
La vulnerabilidad CSRF y la falta de comprobación de permisos en Build Failure Analyzer Plugin permiten SSRF

CVE-2023-43502
Una vulnerabilidad CSRF en el plugin Build Failure Analyzer permite borrar causas de fallos

CVE-2023-43497, CVE-2023-43498
Archivo cargado temporalmente creado con permisos inseguros 

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Para las vulnerabilidades que no poseen un parche específico de remediación, se recomienda verificar los protocolos de seguridad aplicados en esos dispositivos, manteniendo un constante monitoreo y revisión de sus conexiones y procesos a fin de detectar un posible comportamiento sospechoso.