Nuevo aviso de seguridad de Jenkins informa de Múltiples vulnerabilidades

Jenkins, un servidor de automatización de código abierto, ha informado de múltiples vulnerabilidades en los complementos de sus productos, de las cuales se han clasificado 4 con severidad Alta y 3 medias.

Jenkins informa que las siguientes versiones contienen correcciones para vulnerabilidades de seguridad:

• Implied Labels Plugin version 0.7
• Liquibase Runner Plugin version 1.4.8
• Lockable Resources Plugin version 2.9
• Script Security Plugin version 1.75
• Warnings Plugin version 5.0.2

Vulnerabilidades con severidad Alta:

CVE-2020-2283 Vulnerabilidad Stored XSS en Liquibase Runner Plugin

CVE-2020-2284 Vulnerabilidad XXE en Liquibase Runner Plugin 

CVE-2020-2279 Vulnerabilidad Sandbox bypass en Script Security Plugin

CVE-2020-2280 La vulnerabilidad CSRF en Warnings Plugin permite la ejecución remota de código 

Vulnerabilidades con severidad Media:

CVE-2020-2281 Vulnerabilidad CSRF en Lockable Resources Plugin

CVE-2020-2282 La verificación de permisos faltantes en Implied Labels Plugin permite reconfigurar el complemento 

CVE-2020-2285 La verificación de permisos faltantes en Liquibase Runner Plugin permite enumerar las ID de credenciales 

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.