Se publican nuevas vulnerabilidades para complementos de Jenkins

26 Mayo 2021
Alto

Jenkins ha publicado una nueva lista de avisos de seguridad que contienen 4 vulnerabilidades de las cuales 3 son clasificadas como Altas y 1 severidad Media. Dichas vulnerabilidades afectan a distintos complementos de Jenkins como URLTrigger, Nuget, entre otros.

Severidad Alta

CVE-2021-21657 Vulnerabilidad XXE en el complemento activador del sistema de archivos 

Una falla que no configura su analizador XML para evitar ataques de entidad externa XML (XXE) podría permitir a los atacantes con permiso de “Trabajo/Configuración” o que puedan controlar el contenido de un archivo XML, solicitar falsificación o ataques de denegación de servicio.

CVE-2021-21659 Vulnerabilidad XXE en el complemento URLTrigger 

De ser explotada la vulnerabilidad los atacantes podrían ejecutar falsificación de solicitudes del lado del servidor o ataques de denegación de servicio dado que no configuran su analizador XML para evitar ataques de entidades externas XML (XXE).

CVE-2021-21660 Vulnerabilidad XSS en el complemento Markdown Formatter 

Los complementos afectados utilizan una biblioteca de Markdown para analizar Markdown que no escapa a las URL de destino de los enlaces creados, dando como resultado una vulnerabilidad almacenada de secuencias de comandos de sitios cruzados (XSS) que los atacantes pueden explotar con la capacidad de editar cualquier descripción renderizada utilizando el formateador de marcado configurado.

Severidad Media 

CVE-2021-21658 Vulnerabilidad XXE en el complemento Nuget 

Esta vulnerabilidad permite a los atacantes con la capacidad de controlar el contenido del packages.config archivo, en un espacio de trabajo, hacer que Jenkins analice un documento XML elaborado que utiliza entidades externas para la extracción de datos sensibles del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #CVE-2021-21657 #CVE-2021-21659 #CVE-2021-21660 #CVE-2021-21658


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.