Jenkins publica nuevas vulnerabilidades

19 Marzo 2021
Medio

En la última publicación sobre avisos de seguridad, Jenkins ha anunciado la existencia de 5 vulnerabilidades de severidad media que afectan a distintos de sus complementos. Gran parte de las vulnerabilidades de ser explotadas permitirían a un ciberactor obtener permisos y accesos a elementos o lecturas de trabajo.

Severidad Media

Las comprobaciones de permisos incorrectas en el complemento de estrategia de autorización de Matrix pueden permitir el acceso a algunos elementos - CVE-2021-21623

El método utilizado por Jenkins para asegurar la confidencialidad de la información consiste en que los ítem o elementos de trabajo son ordenados y organizados jerárquicamente según su valor, asegurando así que un elemento sea accesible a una personas solo si su elemento o ítem anterior también sea accesible a dicha persona.

La vulnerabilidad se produce ya que el complemento de estrategia de autorización de Matrix 2.6.5 y versiones anteriores no realiza correctamente las comprobaciones de permisos para determinar si un elemento debe ser accesible.

Las comprobaciones de permisos incorrectas en el complemento de estrategia de autorización basada en roles pueden permitir el acceso a algunos elementos - CVE-2021-21624

Al igual que con la vulnerabilidad anterior, el problema es causado porque el complemento de estrategia de autorización basada en roles 3.1 y versiones anteriores no realiza correctamente las comprobaciones de permisos para determinar si un elemento debe ser accesible.

Esto permite que los atacantes con permiso de Elemento/Lectura en elementos anidados accedan a ellos, incluso si carecen del permiso de Elemento/Lectura para las carpetas principales.

Las comprobaciones de permisos faltantes en CloudBees AWS Credentials Plugin permiten enumerar los ID de las credenciales - CVE-2021-21625

CloudBees AWS Credentials Plugin 1.28 y versiones anteriores no realiza la verificación de permisos en un método auxiliar para puntos de enlace HTTP.

Dicha vulnerabilidad permitiría a los ciber actores con permiso general/lectura enumerar los ID de credenciales, de las credenciales de AWS almacenadas en Jenkins si alguno de los siguientes complementos está instalado:

  • Amazon Elastic Container Service (ECS) / Fargate
  • Envoltorio de compilación de almacén de parámetros de AWS
  • AWS SAM

Otro impacto que afecta a dichos complementos es que pueden utilizar los ID de las credenciales obtenidas para capturar las credenciales por medio del uso de otras vulnerabilidades.

Las comprobaciones de permisos faltantes en el complemento Warnings Next Generation permiten enumerar los contenidos del espacio de trabajo - CVE-2021-21626

Warnings Next Generation Plugin 8.4.4 y versiones anteriores no realizan las comprobaciones necesarias de permisos en los métodos que implementan la validación de formularios.

Esto conlleva a que los atacantes con permiso de elemento/lectura pero, sin permiso de elemento/espacio de trabajo o elemento/configuración, comprobar si los patrones de archivo especificados por el atacante coinciden con el contenido del espacio de trabajo. Se puede utilizar una secuencia de solicitudes para enumerar de forma eficaz el contenido del espacio de trabajo.

Vulnerabilidad CSRF en el complemento Libvirt Agents - CVE-2021-21627

Libvirt Agents Plugin 1.9.0 y versiones anteriores no requieren solicitudes POST para un punto final de envío de formularios, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

Esta vulnerabilidad permite a los atacantes detener los dominios del hipervisor.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #Complementos #CVE-2021-21623 #CVE-2021-21624 #CVE-2021-21625 #CVE-2021-21626 #CVE-2021-21627


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.