Jenkins informa de múltiples vulnerabilidades en sus complementos

15 Enero 2021
Alto

Jenkins, un servidor de automatización de código abierto ha informado de múltiples vulnerabilidades en los complementos de sus productos, de las cuales se han clasificado: 7 Altas, 3 Medias y 3 Bajas.

Jenkins informa que las siguientes versiones contienen correcciones para vulnerabilidades de seguridad:

  • Jenkins semanalmente hasta 2.274 inclusive
  • Jenkins LTS hasta 2.263.1 inclusive
  • Complemento Bumblebee HP ALM hasta 4.1.5 inclusive
  • Complemento TICS hasta 2020.3.0.6 inclusive
  • Complemento TraceTronic ECU-TEST hasta 2.23.1 inclusive

Severidad Alta

Vulnerabilidad XSS en la barra de notificaciones CVE-2021-21603

Vulnerabilidad de secuencias de comandos entre sitios (XSS) que los atacantes pueden aprovechar para influir en el contenido de la barra de notificaciones.

Vulnerabilidad XSS almacenada en etiquetas de botones CVE-2021-21608

Vulnerabilidad de secuencia de comandos entre sitios que los atacantes pueden aprovechar para controlar las etiquetas de los botones, por ejemplo botones con etiqueta controlada por el usuario es “input paso pipeline”

Vulnerabilidad XSS reflejada en la vista previa del formateador de marcado CVE-2021-21610

Vulnerabilidad reflejada de secuencias de comandos entre sitios (XSS) si el formateador de marcado configurado no prohíbe los elementos no seguros (JavaScript) en el marcado, como el complemento Anything Goes Formatter .

Vulnerabilidad XSS almacenada en la página del nuevo elemento CVE-2021-21611

Vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) que pueden explotar los atacantes capaces de especificar nombres para mostrar o ID de tipos de elementos.

Manejo inadecuado de errores de deserialización de XML de la API REST CVE-2021-21604

Jenkins proporciona API REST XML para configurar vistas, trabajos y otros elementos. Cuando la deserialización falla debido a datos no válidos, Jenkins 2.274 y versiones anteriores, LTS 2.263.1 y versiones anteriores almacenan referencias de objetos no válidos creadas a través de estos puntos finales en el Monitor de datos antiguo. Si un administrador descarta los datos antiguos, algunos datos erróneos enviados a estos puntos finales pueden persistir.

Vulnerabilidad de recorrido de ruta en nombres de agentes CVE-2021-21605

Jenkins 2.274 y LTS 2.263.1 y anteriores permiten a los usuarios con permiso de Agente Configurar / elegir nombres de agente que hacen que Jenkins anule config.xmlarchivos no relacionados. Si config.xmlse reemplaza el archivo global, Jenkins se iniciará con valores predeterminados heredados inseguros después de un reinicio.

Vulnerabilidad XSS en el complemento TICS CVE-2021-21613

Vulnerabilidad de secuencias de comandos entre sitios (XSS) que los atacantes pueden aprovechar para controlar el contenido de respuesta del servicio TICS.

Severidad Media

  • Vulnerabilidad de lectura arbitraria de archivos en los navegadores del espacio de trabajo CVE-2021-21602
  • Verificación arbitraria de existencia de archivos en huellas dactilares de archivos CVE-2021-21606
  • La asignación de memoria excesiva en las URL de los gráficos conduce a la denegación de servicio  CVE-2021-21607

Severidad Baja

  • Verificación de permisos faltantes para rutas con prefijo específico CVE-2021-21609
  • Credenciales almacenadas en texto sin formato por el complemento TraceTronic ECU-TEST CVE-2021-21612
  • Credenciales almacenadas en texto sin formato por Bumblebee HP ALM Plugin CVE-2021-21614

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #XSS #CVE-2021-21603 #CVE-2021-21608 #CVE-2021-21610 #CVE-2021-21611 #CVE-2021-21604 #CVE-2021-21602 #CVE-2021-21605 #CVE-2021-21606 #CVE-2021-21607 #CVE-2021-21609 #CVE-2021-21612 #CVE-2021-21613 #CVE-2021-21614


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.