Nuevas vulnerabilidades en complementos de Jenkins

17 Junio 2021
Alto

Jenkins ha publicado una nueva lista de avisos de seguridad que contienen 2 vulnerabilidades clasificadas como Altas que afectan al complemento Scriptler generando vulnerabilidades de secuencias de comandos entre sitios (XSS) 

Severidad Alta

CVE-2021-21667 Vulnerabilidad XSS almacenada en el complemento Scriptler 

Las versiones afectadas del complemento Scriptler no escapan a los nombres de los parámetros que se muestran en los formularios de configuración del trabajo.

Esto da como resultado una vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) que los atacantes pueden explotar con el permiso “Scriptler/Configure”

CVE-2021-21668 Vulnerabilidad XSS almacenada en el complemento Scriptler 

El complemento Scriptler en sus versiones afectadas no escapan al contenido del script, generando una vulnerabilidad almacenada de secuencias de comandos entre sitios (XSS) que los atacantes pueden explotar con el permiso  “Scriptler/Configure”

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Jenkins #Parche #Scriptler #Complemento #CVE-2021-21667 #CVE-2021-21668


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.