Jenkins ha publicado 1 aviso de seguridad que contempla 3 vulnerabilidades. De estas, 2 son clasificadas con severidad Alta y 1 de severidad Media. Dichas vulnerabilidades afectan a los siguientes complementos de Jenkins:
- Jenkins LTS
- Simple Queue Plugin
- Filesystem List Parameter Plugin
Severidad Alta
CVE-2024-47855
Vulnerabilidad de denegación de servicio en json-lib incluido
Jenkins utiliza la biblioteca org.kohsuke.stapler:json-libpara procesar JSON. Esta biblioteca es una bifurcación del proyecto Jenkins de net.sf.json-lib:json-lib, que desde entonces se ha renombrado como org.kordamp.json:json-lib-core. La vulnerabilidad presentada permite a los atacantes con permiso general/de lectura, mantener ocupados los subprocesos que manejan solicitudes HTTP de manera indefinida, utilizando recursos del sistema e impidiendo que los usuarios legítimos utilicen Jenkins. Además, el equipo de seguridad de Jenkins ha identificado varios complementos que permiten a los atacantes que no tienen permiso general/de lectura hacer lo mismo. Estos complementos incluyen SonarQube Scanner y Bitbucket . Además, otras funciones de Jenkins o complementos que procesan JSON proporcionado por el usuario pueden verse afectados, lo que da como resultado el bloqueo de esas funciones.
CVE-2024-54003
Vulnerabilidad XSS almacenada en el complemento Simple Queue
La vulnerabilidad permite a un atacante generar una secuencias de comandos en sitios cruzados (XSS) almacenados, explotable por un atacante con permiso Ver/Crear.
Severidad Media
CVE-2024-54004
Vulnerabilidad de recorrido de ruta en el complemento de parámetros de lista del sistema de archivos
El complemento de parámetros de lista del sistema de archivos 0.0.14 y anteriores no restringe la ruta utilizada para el parámetro de lista de objetos del sistema de archivos.
Esto permite a los atacantes con permiso de Elemento/Configuración enumerar nombres de archivos en el sistema de archivos del controlador Jenkins.
Plan de Acción
Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
