Múltiples vulnerabilidades en Jenkins

Fecha de publicación 14/01/2021
Importancia
5 - Crítica
Recursos Afectados

[Actualización 27/01/2021] Se han actualizado los productos afectados tras descubrir un fallo en la actualización anterior:

  • Jenkins weekly, versiones 2.275 y anteriores;
  • Jenkins LTS, versiones 2.263.2 y anteriores.
Descripción

Se han publicado varias vulnerabilidades en el core de Jenkins, 6 de severidad alta, 3 medias y una baja.

Solución

[Actualización 27/01/2021] Se han actualizado las versiones tras descubrir un fallo en la actualización anterior:

  • Jenkins weekly, actualizar a la versión 2.276;
  • Jenkins LTS, actualizar a la versión 2.263.3.
Detalle

Los tipos de vulnerabilidades publicadas, de severidad alta, se corresponden con los siguientes:

  • 2 vulnerabilidades de Cross-Site Scripting (XSS). Se han asignado los identificadores CVE-2021-21603 y CVE-2021-21608 para estas vulnerabilidades.
  • 1 vulnerabilidad de Cross-Site Scripting (XSS) reflejado. Se ha asignado el identificador CVE-2021-21610 para esta vulnerabilidad.
  • 1 vulnerabilidad de Cross-Site Scripting (XSS) almacenado. Se ha asignado el identificador CVE-2021-21611 para esta vulnerabilidad.
  • 1 vulnerabilidad de deserialización de datos no confiables. Se ha asignado el identificador CVE-2021-21604 para esta vulnerabilidad.
  • 1 vulnerabilidad de validación incorrecta de los datos de entrada. Se ha asignado el identificador CVE-2021-21605 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores CVE-2021-21602, CVE-2021-21606, CVE-2021-21607 y CVE-2021-21609.

Encuesta valoración

Listado de referencias
Jenkins Security Advisory 2021-01-13
[Actualización 27/01/2021] Jenkins Security Advisory 2021-01-26
Etiquetas