Vulnerabilidad en complemento Script Security de Jenkins

Jenkins ha publicado 1 aviso de seguridad que contempla 1 vulnerabilidad. La cual se clasifica con severidad Alta. Esta vulnerabilidad afecta al complemento script-security.

Nota: Esta vulnerabilidad pertenecía inicialmente al aviso publicado el día de ayer.

CVE-2024-34145
Múltiples vulnerabilidades de derivación de sandbox en el complemento Script Security

El complemento Script Security proporciona una función de espacio aislado que permite a los usuarios con pocos privilegios definir scripts, incluidos Pipelines, que generalmente son seguros de ejecutar. Las llamadas al código definido dentro de un script de espacio aislado se interceptan y se verifican varias listas de permitidos para determinar si se permitirá la llamada.

Existen múltiples vulnerabilidades de omisión de sandbox en el complemento Script Security 1335.vf07d9ce377a_e y versiones anteriores:

• Los cuerpos de constructores elaborados que invocan a otros constructores se pueden utilizar para construir cualquier tipo subclasificable mediante conversiones implícitas.
• Las clases Groovy definidas por Sandbox que ocultan clases específicas no definidas por Sandbox se pueden usar para construir cualquier tipo subclasificable.

Estas vulnerabilidades permiten a los atacantes con permiso para definir y ejecutar scripts en el espacio aislado, incluidos Pipelines, eludir la protección del espacio aislado y ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.