Múltiples vulnerabilitats en Jenkins

27/03/2020
Jenkins, servidor d'automatització de codi obert, que permet als desenvolupadors construir, provar i implementar el seu software, presenta quatre noves vulnerabilitats. Una vulnerabilitat de criticitat alta i d’altres tres de criticitat mitjana.

Risc: Alto Alto
Sistemes afectats:

- Jenkins LTS, versió 2.204.5 i anteriors
- Jenkins weekly, versió 2.227 i anteriors

Descripció:

Les vulnerabilitats detectades afecten al seu core, les quals permeten realitzar atacs de tipus "Cross-Site Request Forgery" i "Cross-Site Scripting" persistent.

En les versions vulnerables de Jenkins, és possible desactivar selectivament la protecció contra atacs de tipus CSRF per a URL específiques. A aquesta vulnerabilitat se li ha assignat l'identificador CVE-2020-2160.

Les vulnerabilitats de severitat mitjana tenen assignats els identificadors següents CVE-2020-2161, CVE-2020-2162 i CVE-2020-2163.

Més informació en l’enllaç següent.

Solució:

La solució passa per realitzar actualitzacions:
- Jenkins LTS, a la versió 2.204.6 o 2.222.1
- Jenkins weekly, actualitzar a la versió 2.228