Jenkins publica nuevos avisos de seguridad para sus complementos

12 Mayo 2021
Alto

Jenkins ha publicado una nueva lista de avisos de seguridad que contienen 9 vulnerabilidades de las cuales 4 son clasificadas como Altas y 5 son de severidad Medias. Dichas vulnerabilidades afectan a distintos complementos de Jenkins como Xcode integration, Credentials, S3 publisher, entre otros.

Severidad Alta

  • CVE-2021-21648 Vulnerabilidad XSS reflejada en el complemento de credenciales 

El complemento de credenciales 2.3.18 y versiones anteriores no escapan a la información controlada por el usuario en una vista que este proporciona, dando por resultado una vulnerabilidad de cross-site scripting (XSS) 

  • CVE-2021-21649 Vulnerabilidad de XSS almacenada en el complemento de vista de panel 

El complemento de vista de panel 2.15 y versiones anteriores no escapan a las URL a las que se hace referencia en los portlets de panel de imagen. Esto da como resultado una vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) que pueden explotar los atacantes con permiso “Ver/Configurar”.

  • CVE-2021-21652 Vulnerabilidad CSRF en Xray - Test Management for Jira Plugin permite capturar credenciales 

Xray - Test Management for Jira Plugin 2.4.0 y versiones anteriores no requiere solicitudes POST para un método de prueba de conexión, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) que permitiría a los atacantes conectarse a una URL específica utilizando ID de credenciales obtenidas a través de otro método, capturando las credenciales almacenadas en Jenkins.

  • CVE-2021-21656 Vulnerabilidad XXE en el complemento de integración de Xcode 

Esta vulnerabilidad permite que los atacantes puedan controlar los archivos de entrada para el paso de compilación de Xcode para que Jenkins analice un archivo de espacio de trabajo de Xcode diseñado que utiliza entidades externas para la extracción de datos del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

Severidad Media 

  • CVE-2021-21650 Las comprobaciones de permisos faltantes en el complemento de editor de S3 permiten obtener metadatos sobre artefactos 

La vulnerabilidad permite a los atacantes con permiso de “elemento/lectura” obtener información sobre los artefactos cargados en S3, si el permiso opcional de “ejecución/artefactos” está habilitado.

  • CVE-2021-21651 Falta la verificación de permisos en el complemento del editor de S3 

El complemento 0.11.6 del editor de S3 y versiones anteriores no realizan una verificación de permisos en un punto final HTTP, permitiendo así a un atacantes con permiso “general/lectura” obtener la lista de perfiles configurados.

  • CVE-2021-21653 Falta la verificación de permisos en Xray - Test Management for Jira Plugin permite enumerar ID de credenciales 

Xray - Test Management for Jira Plugin 2.4.0 y versiones anteriores no realizan una verificación de permisos en un punto final HTTP, permitiendo así que los atacantes con permiso “general/de lectura” enumerar las ID de credenciales de las credenciales almacenadas en Jenkins. 

  • CVE-2021-21654 - CVE-2021-21655 Vulnerabilidad CSRF y comprobaciones de permisos faltantes en el complemento P4 

El complemento P4 1.11.4 y versiones anteriores no realizan comprobaciones de permisos en varios puntos finales HTTP que implementan pruebas de conexión. Esto permite a los atacantes con permiso “general/de lectura” conectarse a un servidor Perforce especificado por el atacante utilizando el nombre de usuario y la contraseña especificados por el atacante.

Además, estos puntos finales HTTP no requieren solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #CVE-2021-21648 #CVE-2021-21649 #CVE-2021-21650 #CVE-2021-21651 #CVE-2021-21652 #CVE-2021-21653 #CVE-2021-21654 #CVE-2021-21655 #CVE-2021-21656


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.