Jenkins, un servidor de automatización de código abierto, ha informado de múltiples vulnerabilidades en los complementos de sus productos, de las cuales se han clasificado 5 con severidad alta, 5 medias y 2 bajas.
Jenkins informa que las siguientes versiones contienen correcciones para vulnerabilidades de seguridad:
Además Jenkins anunció que a partir de la publicación de este aviso, no hay correcciones disponibles para los siguientes complementos:
Vulnerabilidades con severidad Alta:
CVE-2020-2286 Autorización incorrecta debido al almacenamiento en caché del Role-based Authorization Strategy Plugin
CVE-2020-2292 Vulnerabilidad de Stored XSS en Release Plugin
CVE-2020-2289 Vulnerabilidad de Stored XSS en Active Choices Plugin
CVE-2020-2290 Vulnerabilidad de Stored XSS en Active Choices Plugin
CVE-2020-2298 Vulnerabilidad de XXE en Nerrvana Plugin
Vulnerabilidades con severidad Media:
CVE-2020-2287 solicitud de logging se puede omitir en Audit Trail Plugin
CVE-2020-2288 Patrón predeterminado incorrecto en Audit Trail Plugin
CVE-2020-2293 Vulnerabilidad arbitraria de lectura de archivos en Persona Plugin
CVE-2020-2294, CVE-2020-2295 Vulnerabilidad CSRF y comprobaciones de permisos faltantes en Maven Cascade Release Plugin
CVE-2020-2296 Vulnerabilidad CSRF en Shared Objects Plugin
Vulnerabilidades con severidad Baja:
CVE-2020-2297 Acceso a almacenamiento de Token en texto plano por SMS Notification Plugin
CVE-2020-2291 Contraseña almacenada en texto plano por couchdb-statistics Plugin
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
| https://www.jenkins.io/security/advisory/2... |
| Producto | Versión |
|---|---|
| Active Choices Plugin |
2.4 |
| Audit Trail Plugin |
3.6 |
| couchdb-statistics Plugin |
0.3 |
| Maven Cascade Release Plugin |
1.3.2 |
| Nerrvana Plugin |
1.02.06 |
| Persona Plugin |
2.4 |
| Release Plugin |
2.10.2 |
| Role-based Authorization Strategy Plugin |
3.0 |
| Shared Objects Plugin |
0.44 |
| SMS Notification Plugin |
1.2 |