Múltiples vulnerabilidades en los complementos de Jenkins

02 Septiembre 2020
Alto

Jenkins ha informado múltiples vulnerabilidades en los complementos de sus productos, de las cuales se han clasificado 8 con severidad alta, 5 medias y 2 bajas.

Jenkins

Jenkins es un servidor de automatización de código abierto que permite a los desarrolladores construir, probar e implementar su software de manera confiable.

Jenkins informó que las siguientes versiones contienen correcciones para vulnerabilidades de seguridad:

  • Build Failure Analyzer Plugin 1.27.1
  • Cadence vManager Plugin 3.0.5
  • database Plugin 1.7
  • Git Parameter Plugin 0.9.13
  • Parameterized Remote Trigger Plugin 3.1.4
  • SoapUI Pro Functional Testing Plugin 1.4

Además, anunció problemas de seguridad no resueltos en lo siguiente complementos:

  • JSGames Plugin
  • Klocwork Analysis Plugin
  • SoapUI Pro Functional Testing Plugin
  • Team Foundation Server Plugin
  • Valgrind Plugin

CVE-2020-2238 El complemento Git Parameter Plugin 0.9.12 y versiones anteriores

Una función desconocida del componente Build with Parameters Page es afectada por esta vulnerabilidad. Esto da como resultado una vulnerabilidad de stored cross-site scripting (XSS), explotables por atacantes con permiso de trabajo / configuración.

CVE-2020-2240 El complemento de base de datos 1.6 y versiones anteriores.

A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase cross site request forgery (CSRF), lo que podría resultar en una falsificación de solicitud entre sitios. Esta vulnerabilidad permite a los atacantes ejecutar scripts SQL arbitrarios. La explotación no necesita ninguna autentificación específica.

CVE-2020-2243 Cadence vManager Plugin 3.0.4 y versiones anteriores

Vulnerabilidad stored cross-site scripting (XSS), explotable por atacantes con permiso para ejecutar / actualizar.

CVE-2020-2244 Build Failure Analyzer Plugin 1.27.0 y versiones anteriores

No escapa al texto coincidente en una respuesta de validación de formulario. Esto da como resultado una vulnerabilidad de cross-site scripting (XSS), explotable por atacantes capaces de proporcionar salida de consola para compilaciones utilizadas para probar las indicaciones de registro de compilación.

CVE-2020-2245  Valgrind Plugin 0.28 y anterior

No configura su analizador XML para prevenir ataques de entidad externa XML (XXE). Esto permite que un usuario pueda controlar los archivos de entrada para el Valgrind plugin.

CVE-2020-2246 Valgrind Plugin 0.28 y versiones anteriores

Vulnerabilidad stored cross-site scripting (XSS), explotable por atacantes capaces de controlar el contenido de los informes XML de Valgrind.

CVE-2020-2247  El complemento de análisis de Klocwork 2020.2.1 y versiones anteriores 

No configura su analizador XML para evitar ataques de entidad externa XML (XXE). Esto permite que un usuario pueda controlar los archivos de entrada para Klocwork plugin

CVE-2020-2248 JSGames Plugin 0.2 y versiones anteriores

Evalúa parte de una URL como código. Esto da como resultado una vulnerabilidad reflected cross-site scripting (XSS) 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #parche #JSGames #Plugin #Klocwork


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.