Jenkins pública vulnerabilidad que afecta a Spring Security

23 Febrero 2021
Alto

Jenkins, un servidor de automatización de código abierto ha informado una  vulnerabilidad en Spring Security 5.4.3 y versiones anteriores que involuntariamente permite privilegios temporalmente elevados en algunas circunstancias en la sesión de un usuario. Este problema, identificado como CVE-2021-22112, se resuelve en Jenkins 2.280 el cual integra Spring Security 5.4.4.
 


 

Vulnerabilidad de escalada de privilegios en la biblioteca de Spring Security incluida CVE-2021-22112

Una secuencia de operaciones en Jenkins permite a los atacantes con permiso de Job/Workspace explotar esto para cambiar su identidad a SYSTEM, un usuario interno con todos los permisos.

Administradores que no pueden actualizar a una versión fija que apliquen como solución temporal el eliminar el permiso Job/Workspace de todos los usuarios que no sean administradores.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #CVE-2021-22112


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.