Jenkins informa de múltiples vulnerabilidades en sus complementos

01 Marzo 2021
Alto

Jenkins, un servidor de automatización de código abierto ha informado de múltiples vulnerabilidades en los complementos de sus productos, las cuales se han clasificado de la siguiente manera: 5 Altas, 1 Media y 1 Baja.

Jenkins informa que las siguientes versiones contienen correcciones para vulnerabilidades de seguridad:

  • Active Choices Plugin 2.5.3
  • Configuration Slicing Plugin 1.52 
  • Repository Connector Plugin 2.0.3
  • Claim Plugin 2.18.2
  • Support Core Plugin 2.72.1
  • Artifact Repository Parameter Plugin 1.0.1

Alto

CVE-2021-21616 Vulnerabilidad XSS almacenada en el complemento Active Choices

CVE-2021-21618 Vulnerabilidad almacenada de XSS en el complemento de conector de repositorio 

CVE-2021-21619 Vulnerabilidad XSS en el complemento Claim 

CVE-2021-21620 Vulnerabilidad CSRF en el complemento Claim 

CVE-2021-21622 Vulnerabilidad almacenada de XSS en el complemento de parámetros del repositorio de artefactos

Medio

CVE-2021-21617 Vulnerabilidad CSRF en el complemento de corte de configuración 

Bajo

CVE-2021-21621 Los paquetes de soporte pueden incluir ID de sesión de usuario en Support Core Plugin 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes

El listado de las CVE se adjunta a continuación:


Tags: #CVE-2021-21616 #CVE-2021-21617 #CVE-2021-21618 #CVE-2021-21619 #CVE-2021-21620 #CVE-2021-21621 #CVE-2021-21622 #Jenkins #Parche #Complementos


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.