En la última publicación sobre avisos de seguridad, Jenkins ha anunciado la existencia de 7 vulnerabilidades, 3 de severidad Alta y 4 de severidad Media. Las vulnerabilidades descritas afectan a distintos complementos de Jenkins tales como: Jenkins LTS, Jenkins weekly, Templating Engine, entre otros.
Severidad Alta
CVE-2021-28165 Vulnerabilidad de denegación de servicio en Jetty incluido
Jenkins incluye Winstone-Jetty, un envoltorio de Jetty, para que actúe como servidor HTTP y servlet cuando se comienza a usar java -jar jenkins.war. De esta forma se ejecuta Jenkins cuando se usa cualquiera de los instaladores o paquetes, pero no cuando se ejecuta con contenedores de servlets como Tomcat.
CVE-2021-21642 Vulnerabilidad XXE en el complemento del proveedor de archivos de configuración
Esta vulnerabilidad permite a los atacantes con capacidad de definir archivos de configuración de Maven hacer que Jenkins analice un archivo de configuración diseñado que utiliza entidades externas para la extracción de datos sensibles del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.
CVE-2021-21646 Vulnerabilidad de ejecución remota de código en el complemento de motor de plantillas
Esta vulnerabilidad permite a los atacantes con permiso “Trabajo/Configurar” ejecutar código arbitrario en el contexto de la JVM del controlador Jenkins.
Severidad Media
A su vez, Jenkins presenta cuatro vulnerabilidades de severidad media que afectan a complementos que podrían permitir permisos a los atacantes:
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Complemento CloudBees CD |
anteriores a 1.1.22 |
Complemento Config File Provider |
anteriores a 3.7.1 |
Complemento Templating Engine |
anteriores a 2.2 |
Jenkins weekly |
anteriores a 2.286 |
Jenkins LTS |
anteriores a 2.277.3 |