Nuevas vulnerabilidades para complementos de Jenkins

09 Abril 2021
Alto

En la última publicación sobre avisos de seguridad, Jenkins ha anunciado la existencia de 7 vulnerabilidades, 1 de ellas es de severidad Alta, 5 de severidad Media y 1 de severidad Baja. Las vulnerabilidades descritas afectan a distintos complementos de Jenkins tales como: complemento Micro Focus Application Automation Tools, Jenkins LTS, entre otros. 

Severidad Alta

Vulnerabilidad XSS reflejada en el complemento de herramientas de automatización de aplicaciones de Micro Focus - CVE-2021-22510

El complemento de herramientas de automatización de aplicaciones de Micro Focus 6.7 y versiones anteriores no escapan a la entrada del usuario en una respuesta de validación de formulario.

Esto da como resultado una vulnerabilidad reflejada de secuencias de comandos entre sitios (XSS).

Severidad Media

  • CVE-2021-21640 Validación de nombre 
  • CVE-2021-21641 Vulnerabilidad CSRF en el complemento de compilaciones promocionadas 
  • CVE-2021-22512 - CVE-2021-22513 Vulnerabilidad CSRF y comprobaciones de permisos faltantes en el complemento de herramientas de automatización de aplicaciones de Micro Focus 
  • CVE-2021-22511 Validación del certificado SSL / TLS inhabilitada incondicionalmente por el complemento de herramientas de automatización de aplicaciones de Micro Focus 

Severidad Baja

CVE-2021-21639 Falta de validación de tipo en la API REST relacionada con el agente 

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #Complementos #CVE-2021-21639 #CVE-2021-21640 #CVE-2021-21641 #CVE-2021-22512 #CVE-2021-22510 #CVE-2021-22511 #CVE-2021-22513


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.