Jenkins informa de Múltiples vulnerabilidades en sus complementos

09 Octubre 2020
Alto

Jenkins, un servidor de automatización de código abierto, ha informado de múltiples vulnerabilidades en los complementos de sus productos, de las cuales se han clasificado 5 con severidad alta, 5 medias y 2 bajas.

Jenkins informa que las siguientes versiones contienen correcciones para vulnerabilidades de seguridad:

  • Active Choices Plugin version 2.5
  • Audit Trail Plugin version 3.7
  • Couchdb-statistics Plugin version 0.4
  • Role-based Authorization Strategy Plugin version 3.1

Además Jenkins anunció que a partir de la publicación de este aviso, no hay correcciones disponibles para los siguientes complementos:

  • Maven Cascade Release Plugin
  • Nerrvana Plugin
  • Persona Plugin
  • Release Plugin
  • Shared Objects Plugin
  • SMS Notification Plugin
     

Vulnerabilidades con severidad Alta:

CVE-2020-2286 Autorización incorrecta debido al almacenamiento en caché del Role-based Authorization Strategy Plugin 

CVE-2020-2292 Vulnerabilidad de Stored XSS en Release Plugin 

CVE-2020-2289 Vulnerabilidad de Stored XSS en Active Choices Plugin 

CVE-2020-2290 Vulnerabilidad de Stored XSS en Active Choices Plugin

CVE-2020-2298 Vulnerabilidad de  XXE en Nerrvana Plugin
 

Vulnerabilidades con severidad Media:

CVE-2020-2287 solicitud de logging se puede omitir en Audit Trail Plugin 

CVE-2020-2288 Patrón predeterminado incorrecto en Audit Trail Plugin

CVE-2020-2293 Vulnerabilidad arbitraria de lectura de archivos en Persona Plugin 

CVE-2020-2294, CVE-2020-2295 Vulnerabilidad CSRF y comprobaciones de permisos faltantes en Maven Cascade Release Plugin 

CVE-2020-2296  Vulnerabilidad CSRF en Shared Objects Plugin


Vulnerabilidades con severidad Baja:

CVE-2020-2297 Acceso a almacenamiento de Token en texto plano por SMS Notification Plugin 

CVE-2020-2291 Contraseña almacenada en texto plano por couchdb-statistics Plugin

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #parche #Nerrvana #Plugin


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.