esenfrdeitptru

Jenkins corrige vulnerabilidades de alta gravedad en múltiples complementos

AS-050-2023

Fecha: 21/08/2023

Resumen:

Jenkins ha anunciado parches para vulnerabilidades de gravedad alta y media que afectan a varios de los complementos de la herramienta de automatización de código abierto.

Rastreado como CVE-2023-40336, no se requiere solicitudes POST para un extremo HTTP en la versión 6.846.v23698686f0f6 y anteriores del complemento Folders, lo que lleva a CSRF. Esta vulnerabilidad permite a los atacantes copiar un elemento, lo que podría aprobar automáticamente secuencias de comandos no protegidas y permitir la ejecución de secuencias de comandos no seguras”, explica Jenkins en un aviso.

El segundo error de gravedad alta, CVE-2023-40342, afecta las versiones 1.2.2 y anteriores del complemento Flaky Test Handler, que no escapan a los contenidos de prueba JUnit cuando se muestran en la interfaz de usuario de Jenkins, lo que permite a los atacantes ejecutar ataques XSS.

Las versiones 0.4 y anteriores del complemento “Shortcut Job” no escapan de la URL de redirección de acceso directo, lo que lleva a una falla XSS rastreada como CVE-2023-40346.

No hay parches para el complemento “Docker Swarm plugin” versión 1.11.

Jenkins también anunció correcciones para vulnerabilidades de gravedad media en los complementos Folders, Config File Provider, NodeJS, Blue Ocean, Fortify, and Delphix.

Según el aviso, estas fallas podrían conducir a la divulgación de información, fugas de credenciales, ataques CSRF, inyección de HTML y enumeración de ID de credenciales.

Recomendaciones:

  • Blue Ocean Plugin debería ser actualizado a la versión 1.27.5.1
  • Config File Provider Plugin debería ser actualizado a la versión 953.v0432a_802e4d2
  • Delphix Plugin debería ser actualizado a la versión 3.0.3
  • Flaky Test Handler Plugin debería ser actualizado a la versión 1.2.3
  • Folders Plugin debería ser actualizado a la versión 6.848.ve3b_fd7839a_81
  • Fortify Plugin debería ser actualizado a la versión 22.2.39
  • NodeJS Plugin debería ser actualizado a la versión 1.6.0.1
  • Shortcut Job Plugin debería ser actualizado a la versión 0.5
  • Tuleap Authentication Plugin debería ser actualizado a la versión 1.1.21

Referencias:

https://www.securityweek.com/jenkins-patches-high-severity-vulnerabilities-in-multiple-plugins/

https://www.jenkins.io/security/advisory/2023-08-16/

Tlp Clear 2023