Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/03/2020
Múltiples vulnerabilidades en Jenkins
Jenkins, servidor de automatización de código abierto, que permite a los desarrolladores construir, probar e implementar su software, presenta cuatro nuevas vulnerabilidades. Una vulnerabilidad de criticidad alta y tres vulnerabilidades de criticidad media.Las vulnerabilidades detectadas afectan a su core, permitiendo realizar ataques de tipo "Cross-Site Request Forgery" y "Cross-Site Scripting" persistente.
En la versiones vulnerables de Jenkins, es posible desactivar selectivamente la protección contra ataques de tipo CSRF para URLs específicas. A esta vulnerabilidad se le ha asignado el identificador CVE-2020-2160.
Las vulnerabilidades de severidad media tienen asignados los siguientes identificadores CVE-2020-2161, CVE-2020-2162 y CVE-2020-2163.
Más información en el siguiente enlace.
Sistemas Afectados:- Jenkins LTS, versión 2.204.5 y anteriores
- Jenkins weekly, versión 2.227 y anteriores
CVE-2020-2160, CVE-2020-2161, CVE-2020-2162, CVE-2020-2163.
Solución:Las solución pasa por realizar actualizaciones:
- Jenkins LTS, a la versión 2.204.6 o 2.222.1
- Jenkins weekly, actualizar a la versión 2.228
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-jenkins-8
https://jenkins.io/security/advisory/2020-03-25/