Jenkins publica nuevas correcciones para sus complementos

11 Junio 2021
Alto

 

Jenkins ha publicado una nueva lista de avisos de seguridad que contienen 6 vulnerabilidades de las cuales 4 son clasificadas como Altas y 2 de severidad Media. Dichas vulnerabilidades afectan a distintos complementos de Jenkins como Kubernetes CLI,  Kiuwan, entre otros.

Severidad Alta

CVE-2021-21663 - CVE-2021-21664 - CVE-2021-21665 La vulnerabilidad CSRF y la verificación de permisos faltantes en XebiaLabs XL Deploy plugin permiten capturar credenciales 

Las versiones afectadas del complemento XebiaLabs XL Deploy no realizan la verificación de permisos en un método que implementa la validación de formularios. Esto conlleva a que los atacantes con permiso “general/lectura” puedan conectarse a una URL especificada por el atacante utilizando ID de credenciales señaladas por el atacante, las cuales fueron obtenidas capturando las credenciales de “nombre de usuario/contraseña” almacenadas en Jenkins.

Además, este método de validación de formularios no requiere solicitudes POST, lo que genera una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF).

CVE-2021-21666 Vulnerabilidad XSS reflejada en el complemento Kiuwan  

El complemento Kiuwan es vulnerable a que pueda controlarse indirectamente a través de parámetros de consulta en un mensaje de error para un punto final de validación de formulario.

Esto da como resultado una vulnerabilidad reflejada de secuencias de comandos entre sitios (XSS).

  • Importante: Solo las versiones anteriores de Jenkins se ven afectadas por esta vulnerabilidad. Jenkins 2.275 y versiones posteriores, LTS 2.263.2 y versiones posteriores incluyen una protección que evita que esto sea explotable.

Severidad Media 

CVE-2021-21661 Las comprobaciones de permisos faltantes permiten enumerar los ID de credenciales en el complemento CLI de Kubernetes 

Las versiones afectadas del complemento CLI de Kubernetes no realizan comprobaciones de permisos en varios puntos finales HTTP, permitiendo así que posibles atacantes con permiso “general/lectura” puedan enumerar las ID de credenciales almacenadas en Jenkins. 

CVE-2021-21662 La comprobación de permisos faltantes en XebiaLabs XL Deploy Plugin permite enumerar las ID de credenciales

La vulnerabilidad existente en los complementos XebiaLabs XL Deploy podrían causar que un atacante con permiso “general/lectura” enumere las ID de credenciales almacenadas en Jenkins. Estos pueden usarse como parte de un ataque para capturar las credenciales usando otra vulnerabilidad.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #Complementos #Vulnerabilidad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.