Múltiples vulnerabilidades afectan al core de Jenkins
Fecha de publicación 18/08/2020
Importancia
5 - Crítica
Recursos Afectados
- Jenkins hasta versión 2.251 inclusive;
- Jenkins LTS hasta versión 2.235.4 inclusive.
Descripción
Diversos investigadores han informado de múltiples vulnerabilidades que afectan al core de Jenkins, concretamente 1 es de severidad crítica y 3 altas, de tipo corrupción en el buffer y Cross-Site Scripting (XSS) almacenado, respectivamente.
Solución
Se recomienda instalar las siguientes versiones para solucionar estas vulnerabilidades:
- Jenkins versión 2.252;
- Jenkins LTS versión 2.235.5.
Detalle
- Jenkins incluye Winstone-Jetty, un wrapper de Jetty, para que actúe como HTTP y servlet, que contiene una vulnerabilidad que podría permitir que atacantes no autenticados obtengan encabezados de respuesta HTTP con datos confidenciales destinados a otro usuario. Se ha asignado el identificador CVE-2019-17638 para esta vulnerabilidad.
- Jenkins no sanitiza correctamente el contenido de información sobre herramientas de los iconos de ayuda, la descripción de la estrategia de nomenclatura del proyecto que se muestra en la creación del artículo, ni la dirección remota del host que inicia una compilación a través de Trigger builds remotely, lo que podría conducir a vulnerabilidades de XSS. Se han asignado los identificadores CVE-2020-2229, CVE-2020-2230 y CVE-2020-2231 para estas vulnerabilidades.
Además, Jenkins ha informado de otras vulnerabilidades en diferentes complementos.
Etiquetas