Jenkins ha publicado 1 aviso de seguridad que contempla 1 vulnerabilidad. La cual se clasifica con severidad Alta. Esta vulnerabilidad afecta al complemento script-security.
Nota: Esta vulnerabilidad pertenecía inicialmente al aviso publicado el día de ayer.
CVE-2024-34145
Múltiples vulnerabilidades de derivación de sandbox en el complemento Script Security
El complemento Script Security proporciona una función de espacio aislado que permite a los usuarios con pocos privilegios definir scripts, incluidos Pipelines, que generalmente son seguros de ejecutar. Las llamadas al código definido dentro de un script de espacio aislado se interceptan y se verifican varias listas de permitidos para determinar si se permitirá la llamada.
Existen múltiples vulnerabilidades de omisión de sandbox en el complemento Script Security 1335.vf07d9ce377a_e y versiones anteriores:
Estas vulnerabilidades permiten a los atacantes con permiso para definir y ejecutar scripts en el espacio aislado, incluidos Pipelines, eludir la protección del espacio aislado y ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://www.jenkins.io/security/advisory/2... |
Producto | Versión |
---|---|
Plugin Script Security |
hasta 1335.vf07d9ce377a_e inclusive |