Múltiples vulnerabilidades afectan complementos Jenkins

Jenkins ha publicado 1 aviso de seguridad que contempla 4 vulnerabilidades, clasificadas como: 1 de severidad Alta, 2 de severidad Media y una de severidad baja, las vulnerabilidades afectan productos como:

• Git server Plugin
• Script Security Plugin
• Subversion Partial Release Manager Plugin
• Telegram Bot Plugin

CVE-2024-34144
Múltiples vulnerabilidades de evasión de sandbox en Script Security Plugin

El complemento de seguridad de scripts proporciona una función de caja de arena que permite a los usuarios con pocos privilegios definir scripts, incluidos los pipelines, cuya ejecución es generalmente segura. Estas vulnerabilidades permiten a los atacantes con permiso para definir y ejecutar scripts sandboxed, incluyendo Pipelines, saltarse la protección sandbox y ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.

CVE-2024-34146
Falta la comprobación de permisos en el plugin del servidor Git

El plugin 114.v068a_c7cc2574 del servidor Git y versiones anteriores no realizan una comprobación de permisos para el acceso de lectura a un repositorio Git a través de SSH. Esto permite a los atacantes con una clave pública SSH previamente configurada pero que carecen del permiso Overall/Read acceder a repositorios Git.

CVE-2024-34148
Protección de seguridad desactivada por el plugin de Subversion Partial Release Manager

Subversion Partial Release Manager Plugin 1.0.1 y anteriores establece mediante programación la propiedad del sistema Java hudson.model.ParametersAction.keepUndefinedParameters cada vez que se lanza una compilación desde una etiqueta release con el SCM 'Svn-Partial Release Manager'. Al hacerlo, se desactiva la corrección de SECURITY-170 / CVE-2016-3721.

Nota:

En el momento de la publicación de este aviso, no existe ninguna corrección para ésta vulnerabilidad.

CVE-2024-34147
Token almacenado en texto plano por Telegram Bot Plugin

Telegram Bot Plugin 1.4.0 y anteriores almacenan el token de Telegram Bot sin cifrar en su archivo de configuración global jenkinsci.plugins.telegrambot.TelegramBotGlobalConfiguration.xml en el controlador Jenkins como parte de su configuración. Este token puede ser visto por usuarios con acceso al sistema de archivos del controlador Jenkins.

Nota:

En el momento de la publicación de este aviso, no existe ninguna corrección para ésta vulnerabilidad.

• Instalar las actualizaciones del fabricante cuando estén disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.