Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/03/2020
Les vulnerabilitats detectades afecten al seu core, les quals permeten realitzar atacs de tipus "Cross-Site Request Forgery" i "Cross-Site Scripting" persistent.
En les versions vulnerables de Jenkins, és possible desactivar selectivament la protecció contra atacs de tipus CSRF per a URL específiques. A aquesta vulnerabilitat se li ha assignat l'identificador CVE-2020-2160.
Les vulnerabilitats de severitat mitjana tenen assignats els identificadors següents CVE-2020-2161, CVE-2020-2162 i CVE-2020-2163.
Més informació en l’enllaç següent.
Sistemes Afectats:- Jenkins LTS, versió 2.204.5 i anteriors
- Jenkins weekly, versió 2.227 i anteriors
CVE-2020-2160, CVE-2020-2161, CVE-2020-2162, CVE-2020-2163.
Solució:La solució passa per realitzar actualitzacions:
- Jenkins LTS, a la versió 2.204.6 o 2.222.1
- Jenkins weekly, actualitzar a la versió 2.228
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-jenkins-8
https://jenkins.io/security/advisory/2020-03-25/