En la última publicación sobre avisos de seguridad, Jenkins ha anunciado la existencia de 5 vulnerabilidades de severidad media que afectan a distintos de sus complementos. Gran parte de las vulnerabilidades de ser explotadas permitirían a un ciberactor obtener permisos y accesos a elementos o lecturas de trabajo.
Severidad Media
Las comprobaciones de permisos incorrectas en el complemento de estrategia de autorización de Matrix pueden permitir el acceso a algunos elementos - CVE-2021-21623
El método utilizado por Jenkins para asegurar la confidencialidad de la información consiste en que los ítem o elementos de trabajo son ordenados y organizados jerárquicamente según su valor, asegurando así que un elemento sea accesible a una personas solo si su elemento o ítem anterior también sea accesible a dicha persona.
La vulnerabilidad se produce ya que el complemento de estrategia de autorización de Matrix 2.6.5 y versiones anteriores no realiza correctamente las comprobaciones de permisos para determinar si un elemento debe ser accesible.
Las comprobaciones de permisos incorrectas en el complemento de estrategia de autorización basada en roles pueden permitir el acceso a algunos elementos - CVE-2021-21624
Al igual que con la vulnerabilidad anterior, el problema es causado porque el complemento de estrategia de autorización basada en roles 3.1 y versiones anteriores no realiza correctamente las comprobaciones de permisos para determinar si un elemento debe ser accesible.
Esto permite que los atacantes con permiso de Elemento/Lectura en elementos anidados accedan a ellos, incluso si carecen del permiso de Elemento/Lectura para las carpetas principales.
Las comprobaciones de permisos faltantes en CloudBees AWS Credentials Plugin permiten enumerar los ID de las credenciales - CVE-2021-21625
CloudBees AWS Credentials Plugin 1.28 y versiones anteriores no realiza la verificación de permisos en un método auxiliar para puntos de enlace HTTP.
Dicha vulnerabilidad permitiría a los ciber actores con permiso general/lectura enumerar los ID de credenciales, de las credenciales de AWS almacenadas en Jenkins si alguno de los siguientes complementos está instalado:
Otro impacto que afecta a dichos complementos es que pueden utilizar los ID de las credenciales obtenidas para capturar las credenciales por medio del uso de otras vulnerabilidades.
Las comprobaciones de permisos faltantes en el complemento Warnings Next Generation permiten enumerar los contenidos del espacio de trabajo - CVE-2021-21626
Warnings Next Generation Plugin 8.4.4 y versiones anteriores no realizan las comprobaciones necesarias de permisos en los métodos que implementan la validación de formularios.
Esto conlleva a que los atacantes con permiso de elemento/lectura pero, sin permiso de elemento/espacio de trabajo o elemento/configuración, comprobar si los patrones de archivo especificados por el atacante coinciden con el contenido del espacio de trabajo. Se puede utilizar una secuencia de solicitudes para enumerar de forma eficaz el contenido del espacio de trabajo.
Vulnerabilidad CSRF en el complemento Libvirt Agents - CVE-2021-21627
Libvirt Agents Plugin 1.9.0 y versiones anteriores no requieren solicitudes POST para un punto final de envío de formularios, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).
Esta vulnerabilidad permite a los atacantes detener los dominios del hipervisor.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
| https://www.jenkins.io/security/advisory/2... |
| Producto | Versión |
|---|---|
| Complemento de credenciales de AWS de CloudBees |
anteriores a 1.28.1 |
| Complemento Libvirt Agents |
anteriores a 1.9.1 |
| Complemento Matrix Authorization Strategy |
anteriores a 2.6.6 |
| Complemento de estrategia de autorización basada en roles |
anteriores a 3.1.1 |
| Complemento Warnings Next Generation |
anteriores a 8.5.0 |