Jenkins ha publicado 1 aviso de seguridad que contempla 6 vulnerabilidades. De estas, 5 son clasificadas con severidad Alta y 1 de severidad Media. Dichas vulnerabilidades afectan a los siguientes complementos de Jenkins:
- Authorize Project
- IvyTrigger
- OpenId Connect Authentication
- Pipeline: Declarative y Groovy
- Script Security
- Shared Library Version Override
Severidad Alta
CVE-2024-52550
Reconstrucción de una ejecución con aprobación de script revocada permitida por Pipeline: complemento Groovy
Pipeline: Groovy Plugin 3990.vd281dd77a_388 y anteriores, excepto 3975.3977.v478dd9e956c3, no verifica si el script principal (Jenkinsfile) de una compilación reconstruida está aprobado.
Esto permite a los atacantes con permiso de Item/Build reconstruir una compilación anterior cuyo script (Jenkinsfile) ya no está aprobado.
CVE-2024-52551
Reinicio de una ejecución con aprobación de script revocada permitida por Pipeline: complemento declarativo
Pipeline: el complemento declarativo 2.2214.vb_b_34b_2ea_9b_83 y anteriores no verifica si el script principal (Jenkinsfile) utilizado para reiniciar una compilación desde una etapa específica está aprobado.
Esto permite a los atacantes con permiso de Item/Build reiniciar una compilación anterior cuyo script (Jenkinsfile) ya no está aprobado.
CVE-2024-52552
Vulnerabilidad XSS almacenada en el complemento Autorizar proyecto
El complemento Autorizar proyecto 1.7.2 y versiones anteriores evalúa una cadena que contiene el nombre del trabajo con JavaScript en la vista Autorización.
Esto genera una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que puede ser explotada por atacantes con permiso de Item/Configure.
El complemento Autorizar proyecto 1.8.0 ya no evalúa una cadena que contiene el nombre del trabajo con JavaScript en la vista Autorización.
CVE-2024-52553
Vulnerabilidad de fijación de sesión en el complemento de autenticación de OpenId Connect
El complemento de autenticación de OpenId Connect 4.418.vccc7061f5b_6d y anteriores no invalidan la sesión existente al iniciar sesión.
Esto permite a los atacantes utilizar técnicas de ingeniería social para obtener acceso de administrador a Jenkins.
El complemento de autenticación de OpenId Connect 4.421.v5422614eb_e0a_ invalida la sesión existente al iniciar sesión.
CVE-2024-52554
Vulnerabilidad de omisión de seguridad de script en el complemento de anulación de versión de biblioteca compartida
El complemento de anulación de versión de biblioteca compartida 17.v786074c9fce7 y versiones anteriores declaran que las anulaciones de versión de biblioteca con ámbito de carpeta son confiables, de modo que no se ejecutan en el entorno limitado de seguridad de scripts.
Esto permite a los atacantes con permiso de Item/Configure en una carpeta configurar una anulación de biblioteca con alcance de carpeta que se ejecuta sin protección de espacio aislado.
El complemento de anulación de versión de biblioteca compartida 19.v3a_c975738d4a_ declara que las anulaciones de biblioteca con ámbito de carpeta no son confiables, de modo que se ejecutan en el entorno limitado de seguridad de scripts.
Severidad Media
CVE-2024-52549
Falta la comprobación de permisos en el complemento de seguridad de scripts
Mitigación
Se recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Fuentes Utilizadas
