Jenkins publica nuevas correcciones para sus complementos

Jenkins ha publicado una nueva lista de avisos de seguridad que contienen 8 vulnerabilidades, de las cuales 3 son de severidad Alta y 5 de severidad Media que afectan a complementos como Generic Webhook Trigger, Selenium HTML report, CAS Plugin, entre otros.

Severidad Alta

CVE-2021-21669 Vulnerabilidad XXE en el complemento Generic Webhook Trigger

Las versiones afectadas del complemento Generic Webhook Trigger no configura su analizador XML para evitar ataques de entidad externa XML (XXE). Esto permite a los atacantes con la capacidad de llamar a webhooks configurados para extraer parámetros usando XPath para que Jenkins analice un cuerpo de solicitud XML diseñado que utiliza entidades externas para la extracción de secretos del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

CVE-2021-21672 Vulnerabilidad XXE en el complemento de informe HTML de Selenium

Selenium HTML Report no configura su analizador XML para evitar ataques de entidades externas XML (XXE), permitiendo así que un atacante con la capacidad de controlar los archivos de informes analizados con este complemento para que Jenkins analice un archivo de informe elaborado que utiliza entidades externas para la extracción de datos sensibles de Jenkins o la falsificación de solicitudes del lado del servidor.

CVE-2021-21671 Vulnerabilidad de fijación de sesiones 

Las versiones vulnerables del complemento no invalida la sesión existente al iniciar sesión. Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.

Jenkins destaca la siguiente nota:

• En caso de problemas, los administradores pueden elegir una implementación diferente estableciendo la propiedad del sistema Javahudson.security.SecurityRealm.sessionFixationProtectionMode en 2, o deshabilitar la solución por completo estableciendo esa propiedad del sistema en 0

Severidad Media

CVE-2021-21670 Las comprobaciones de permisos inadecuadas permiten cancelar elementos de la cola y abortar compilaciones 

Jenkins 2.299 y LTS 2.289.1 en sus versiones anteriores permiten a los usuarios cancelar elementos de la cola y abortar compilaciones de trabajos para los que tienen permiso de “Elemento/Cancelar” incluso cuando no tienen permiso de “Elemento/Lectura''.

CVE-2021-21673 Vulnerabilidad de redireccionamiento abierto en el complemento CAS 

Complemento CAS 1.6.0 y versiones anteriores determinan incorrectamente que una URL de redireccionamiento después de iniciar sesión apunta legítimamente a Jenkins.

Esto permite a los atacantes realizar ataques de phishing al hacer que los usuarios accedan a una URL de Jenkins que los reenviará a un sitio diferente después de una autenticación exitosa.

CVE-2021-21674 La verificación de permisos faltantes en el complemento de solicitudes-complemento permite ver las solicitudes pendientes 

Las versiones afectadas del complemento de solicitudes de complemento 2.2.6 y versiones anteriores no realizan una verificación de permisos en un punto final HTTP, permitiendo así que los atacantes con permiso “general/lectura” ver la lista de solicitudes pendientes.

CVE-2021-21675 Vulnerabilidades de CSRF en el complemento de solicitudes y complementos 

Plugin solicitudes de complemento 2.2.12 y versiones anteriores no requiere solicitudes POST para solicitar y aplicar cambios, lo que genera vulnerabilidades de falsificación de solicitudes entre sitios (CSRF). Dichas vulnerabilidades permiten a los atacantes crear solicitudes y / o hacer que los administradores apliquen solicitudes pendientes, como cambiar el nombre o eliminar trabajos, eliminar compilaciones, etc.

CVE-2021-21676 Falta la verificación de permisos en el complemento de solicitudes y el complemento permite enviar correos electrónicos 

Esta vulnerabilidad permite a los atacantes con permiso general / lectura enviar correos electrónicos de prueba a una dirección de correo electrónico especificada por el atacante.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.