Múltiples vulnerabilidades en Jenkins

Fecha de publicación 26/03/2020
Importancia
4 - Alta
Recursos Afectados
  • Jenkins LTS, versión 2.204.5 y anteriores;
  • Jenkins weekly, versión 2.227 y anteriores.
Descripción

Jenkins ha detectado 4 vulnerabilidades, una de criticidad alta y 3 medias, que afectan a su core y permitirían realizar ataques de tipo CSRF (Cross-Site Request Forgery) y XSS (Cross-Site Scripting) persistente.

Solución
  • Jenkins LTS, actualizar a la versión 2.204.6 o 2.222.1;
  • Jenkins weekly, actualizar a la versión 2.228.
Detalle
  • Un punto de extensión en Jenkins permite desactivar selectivamente la protección contra ataques de tipo CSRF para URL específicas, ya que recibe una representación diferente de la ruta de la URL de la que el framework para aplicaciones web Stapler utiliza para realizar solicitudes de envío. Se ha asignado el identificador CVE-2020-2160 para esta vulnerabilidad.
  • Para las vulnerabilidades de severidad media, se han asignado los identificadores: CVE-2020-2161, CVE-2020-2162 y CVE-2020-2163.

Encuesta valoración

Listado de referencias
Jenkins Security Advisory 2020-03-25
Etiquetas