Múltiples vulnerabilidades en aviso de seguridad de Jenkins

17 Septiembre 2020
Alto
Amenaza

Jenkins ha informado de múltiples vulnerabilidades en los complementos de sus productos, de las cuales se han clasificado 13 con severidad alta, 13 medias y 1 baja.

Jenkins

Jenkins es un servidor de automatización de código abierto que permite a los desarrolladores el mundo para construir, probar e implementar su software de manera confiable.

Jenkins informa que las siguientes versiones contienen correcciones para vulnerabilidades de seguridad:

  • Blue Ocean Plugin version 1.23.3
  • Computer-queue-plugin Plugin version 1.6
  • Email Extension Plugin version 2.76
  • Health Advisor by CloudBees Plugin version 3.2.1
  • Mailer Plugin version 1.32.1
  • Perfecto Plugin version 1.18
  • Pipeline Maven Integration Plugin version 3.9.3
  • Validating String Parameter Plugin version 2.5

Además Jenkins anunció problemas de seguridad no resueltos en lo siguientes complementos:

  • Android Lint Plugin
  • chosen-views-tabbar Plugin
  • ClearCase Release Plugin
  • Copy data to workspace Plugin
  • Coverage/Complexity Scatter Plot Plugin
  • Custom Job Icon Plugin
  • Description Column Plugin
  • ElasTest Plugin
  • Locked Files Report Plugin
  • MongoDB Plugin
  • Radiator View Plugin
  • Selection tasks Plugin
  • Storable Configs Plugin

Vulnerabilidades con severidad Alta:

CVE-2020-2269 Vulnerabilidad de Stored XSS en chosen-views-tabbar Plugin

CVE-2020-2262 Vulnerabilidad de Stored XSS en Android Lint Plugin

CVE-2020-2270 Vulnerabilidad de Stored XSS en ClearCase Release Plugin 

CVE-2020-2259 Vulnerabilidad de Stored XSS en computer-queue-plugin Plugin 

CVE-2020-2265 Vulnerabilidad de Stored XSS en Coverage/Complexity Scatter Plot Plugin

CVE-2020-2264 Vulnerabilidad de Stored XSS en Custom Job Icon Plugin

CVE-2020-2266 Vulnerabilidad de Stored XSS en Description Column Plugin

CVE-2020-2271 Vulnerabilidad de Stored XSS en Locked Files Report Plugin 

CVE-2020-2263 Vulnerabilidad de Stored XSS en Radiator View Plugin

CVE-2020-2257 Vulnerabilidad de Stored XSS en Validating String Parameter Plugin

CVE-2020-2276 Vulnerabilidad de ejecución de comandos del sistema en Selection tasks Plugin

CVE-2020-2256 Vulnerabilidad de Stored XSS en upstream cause in Pipeline Maven Integration Plugin 

CVE-2020-2261 Vulnerabilidad de ejecución de comandos del sistema operativo en Perfecto Plugin

Mitigación

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:
Tags: #Jenkins #parche #JSGames #Plugin
Fuentes utilizadas
https://www.jenkins.io/security/advisory/2...
Entel Corp.
Torre Entel,
Santiago, Chile
Enlaces Internos
Blogs de Seguridad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.