Nuevas vulnerabilidades para complementos de Jenkins

En la última publicación sobre avisos de seguridad, Jenkins ha anunciado la existencia de 7 vulnerabilidades, 3 de severidad Alta y 4 de severidad Media. Las vulnerabilidades descritas afectan a distintos complementos de Jenkins tales como: Jenkins LTS, Jenkins weekly, Templating Engine, entre otros.

Severidad Alta

CVE-2021-28165 Vulnerabilidad de denegación de servicio en Jetty incluido  

Jenkins incluye Winstone-Jetty, un envoltorio de Jetty, para que actúe como servidor HTTP y servlet cuando se comienza a usar java -jar jenkins.war. De esta forma se ejecuta Jenkins cuando se usa cualquiera de los instaladores o paquetes, pero no cuando se ejecuta con contenedores de servlets como Tomcat.

CVE-2021-21642 Vulnerabilidad XXE en el complemento del proveedor de archivos de configuración 

Esta vulnerabilidad permite a los atacantes con capacidad de definir archivos de configuración de Maven hacer que Jenkins analice un archivo de configuración diseñado que utiliza entidades externas para la extracción de datos sensibles del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

CVE-2021-21646 Vulnerabilidad de ejecución remota de código en el complemento de motor de plantillas 

Esta vulnerabilidad permite a los atacantes con permiso “Trabajo/Configurar” ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.

Severidad Media

A su vez, Jenkins presenta cuatro vulnerabilidades de severidad media que afectan a complementos que podrían permitir permisos a los atacantes:

• CVE-2021-21644 La vulnerabilidad CSRF en el complemento del proveedor de archivos de configuración permite eliminar archivos de configuración 
• CVE-2021-21645 Las comprobaciones de permisos faltantes en el complemento del proveedor de archivos de configuración permiten enumerar los ID de los archivos de configuración 
• CVE-2021-21643 Las comprobaciones de permisos incorrectas en el complemento del proveedor de archivos de configuración permiten enumerar los ID de las credenciales 
• CVE-2021-21647 La falta de verificación de permisos en el complemento de CD de CloudBees permite programar compilaciones

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.