Jenkins ha publicado 1 nuevo aviso de seguridad que contempla 17 vulnerabilidades, las cuales se clasifican en 6 de severidad Alta y 11 de severidad Media, estas fallas de seguridad afectan a los siguientes complementos:
- AppSpider
- Monitor View
- Delphix
- GitBucket
- OWASP Dependency-Check
- API de Trilead
- Entre otros
CVE-2024-28149
Saneamiento de entrada inadecuado en el complemento HTML Publisher
Una vulnerabilidad de recorrido de ruta en HTML Publisher Plugin 1.15 y versiones anteriores. La solución mantuvo la compatibilidad con informes más antiguos como alternativa.
En HTML Publisher Plugin 1.16 a 1.32 (ambos inclusive), este respaldo para los informes creados en HTML Publisher Plugin 1.15 y versiones anteriores no sanea adecuadamente la entrada. Esto permite a los atacantes con permiso Item/Configure hacer lo siguiente:
- Implementar ataques de secuencias de comandos entre sitios (XSS) almacenados.
- Determinar si existe una ruta en el sistema de archivos del controlador Jenkins sin poder acceder a ella.
El complemento HTML Publisher 1.32.1 elimina la compatibilidad con los informes creados antes del complemento HTML Publisher 1.15. Esos informes se conservan en el disco, pero es posible que ya no se pueda acceder a ellos a través de la interfaz de usuario de Jenkins.
CVE-2024-28150
Vulnerabilidad XSS almacenada en el complemento HTML Publisher
HTML Publisher Plugin 1.32 y versiones anteriores son vulnerables a los nombres de trabajos, nombres de informes y títulos de páginas de índice que se muestran como parte del marco del informe.
Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar los atacantes con permiso de Item/Configure.
HTML Publisher Plugin 1.32.1 comprueba los informes creados en versiones anteriores para detectar la presencia de caracteres no seguros en el marco del informe y no permite mostrar estos marcos si se identifican caracteres inseguros.
CVE-2024-28153
Vulnerabilidad XSS almacenada en el complemento OWASP Dependency-Check
El complemento OWASP Dependency-Check 5.4.5 y versiones anteriores se ven afectados por los metadatos vulnerables de los informes de Dependency-Check en la interfaz de usuario de Jenkins.
Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que pueden explotar atacantes capaces de controlar el contenido del espacio de trabajo o los metadatos CVE.
CVE-2024-28156
Vulnerabilidad XSS almacenada en el complemento Build Monitor View
El complemento Build Monitor View 1.14-860.vd06ef2568b_3f y versiones anteriores se ven afectadas por los nombres de Build Monitor View.
Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que los atacantes pueden explotar y pueden configurar vistas de Build Monitor.
Nota: Al momento de la publicación de este aviso, no existe ninguna solución.
CVE-2024-28157
Vulnerabilidad XSS almacenada en el complemento GitBucket
El complemento GitBucket 0.8 y versiones anteriores no sanean las URL de Gitbucket en las vistas de compilación.
Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que los atacantes pueden aprovechar para configurar trabajos.
Nota: Al momento de la publicación de este aviso, no existe ninguna solución.
CVE-2024-28160
Vulnerabilidad XSS almacenada en el complemento iceScrum
El complemento iceScrum 1.1.6 y versiones anteriores no sanean las URL del proyecto iceScrum en las vistas de compilación.
Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que los atacantes pueden aprovechar para configurar trabajos.
Nota: Al momento de la publicación de este aviso, no existe ninguna solución.
CVE-2023-48795
Vulnerabilidad Terrapin SSH en el complemento API Trilead
CVE-2024-28151
Vulnerabilidad path traversal en el plugin HTML Publisher
CVE-2024-28152
Comportamiento incorrecto de la política de confianza para solicitudes de extracción de bifurcaciones en el complemento Bitbucket Branch Source
CVE-2024-28154
Exposición de información confidencial en registros de compilación mediante el complemento MQ Notifier
CVE-2024-28155
Faltan comprobaciones de permisos en el complemento AppSpider
CVE-2024-28161
La validación de certificados SSL/TLS está deshabilitada de forma predeterminada en el complemento Delphix
CVE-2024-28162
Validación de certificado SSL/TLS incorrecta en el complemento Delphix
CVE-2024-2215, CVE-2024-2216
Vulnerabilidad CSRF y verificación de permisos faltantes en el complemento Docker-build-step
CVE-2024-28158, CVE-2024-28159
Vulnerabilidad CSRF y comprobaciones de permisos faltantes en el complemento Subversion Partial Release Manager
Mitigación
Se recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
- Considerar el siguiente aviso de Jenkins: «A partir de la publicación de este aviso, no hay correcciones disponibles para los siguientes complementos:»
- Build Monitor View Plugin
- docker-build-step Plugin
- GitBucket Plugin
- iceScrum Plugin
- Subversion Partial Release Manager Plugin
- https://www.jenkins.io/security/plugins/#unresolved
