Skip to main content

Aviso de seguridad de Jenkins 2024-05-24

mayo 27, 2024


Este aviso anuncia vulnerabilidades en los siguientes entregables de Jenkins:

Descripciones

Vulnerabilidad XSS almacenada en el complemento Team Concert Git

SEGURIDAD-3250 / CVE-2024-28793


Gravedad (CVSS):

Alto


Complemento afectado:


teamconcert-git




Descripción:

Team Concert Git Plugin 2.0.4 y anteriores no escapan del URI del servidor Rational Team Concert (RTC) en la página de compilación cuando se muestran cambios.

Esto da como resultado una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenada que los atacantes pueden aprovechar para configurar trabajos.

Team Concert Git Plugin 2.0.5 escapa del URI del servidor Rational Team Concert (RTC) en la página de compilación cuando muestra cambios.

Vulnerabilidades XXE en el complemento de herramientas de automatización de aplicaciones OpenText

SEGURIDAD-3278 / CVE-2024-4189 (LrScriptResultsParser.java), CVE-2024-4184 (XpathReader.java), CVE-2024-4690 (otros)


Gravedad (CVSS):

Alto


Complemento afectado:


hp-application-automation-tools-plugin




Descripción:

El complemento de herramientas de automatización de aplicaciones OpenText 24.1.0 y anteriores no configura sus analizadores XML para evitar ataques de entidades externas XML (XXE).

Esto permite a los atacantes controlar los archivos de entrada para los pasos de compilación y los pasos posteriores a la compilación del complemento OpenText Application Automation Tools para que Jenkins analice un archivo manipulado que utiliza entidades externas para la extracción de secretos del controlador de Jenkins o la falsificación de solicitudes del lado del servidor.

El complemento de herramientas de automatización de aplicaciones OpenText 24.1.1-beta deshabilita la resolución de entidades externas para sus analizadores XML.

Actualmente, la solución solo está disponible como versión beta. Las versiones beta no aparecerán en el centro de actualizaciones habitual, pero se pueden encontrar en el centro de actualizaciones experimental. Para obtener más información sobre cómo instalar una versión beta, consulte esto documentación.

Faltan comprobaciones de permisos en el complemento de herramientas de automatización de aplicaciones OpenText

SECURITY-3277 / CVE-2024-4211 (configuraciones de trabajos ALM), CVE-2024-4691 (configuraciones ALM Octane), CVE-2024-4692 (configuraciones de virtualización de servicios)


Gravedad (CVSS):

Medio


Complemento afectado:


hp-application-automation-tools-plugin




Descripción:

El complemento de herramientas de automatización de aplicaciones OpenText 24.1.0 y versiones anteriores no realiza comprobaciones de permisos en varios puntos finales HTTP.

Esto permite a los atacantes con permiso general/lectura enumerar configuraciones de trabajos de ALM, configuraciones de ALM Octane y configuraciones de virtualización de servicios.

El complemento de herramientas de automatización de aplicaciones OpenText 24.1.1-beta requiere permiso de elemento/configuración para enumerar las configuraciones de trabajos de ALM, las configuraciones de ALM Octane y las configuraciones de virtualización de servicios.

Actualmente, la solución solo está disponible como versión beta. Las versiones beta no aparecerán en el centro de actualizaciones habitual, pero se pueden encontrar en el centro de actualizaciones experimentales. Para obtener más información sobre cómo instalar una versión beta, consulte esto documentación.

Vulnerabilidad de recorrido de ruta en el complemento de información de informes

SEGURIDAD-3070 / CVE-2024-5273


Gravedad (CVSS):

Medio


Complemento afectado:


report-info




Descripción:

Report Info Plugin 1.2 y versiones anteriores no realizan la validación de la ruta del directorio del espacio de trabajo mientras se entregan archivos de informes.

Además, el complemento Report Info no admite compilaciones distribuidas.

Esto da como resultado una vulnerabilidad de recorrido de ruta, que permite a los atacantes con permiso Item/Configure recuperar fallas de Surefire, violaciones de PMD, errores de Findbugs y errores de Checkstyle en el sistema de archivos del controlador editando la ruta del espacio de trabajo.

Gravedad

Versiones afectadas

  • Complemento de herramientas de automatización de aplicaciones OpenText

    hasta e incluyendo 24.1.0

  • Complemento de información de informes

    hasta e incluyendo 1.2

  • Complemento Git de concierto en equipo

    hasta e incluyendo 2.0.4

Arreglar

  • Complemento de herramientas de automatización de aplicaciones OpenText

    debe actualizarse a la versión 24.1.1-beta

  • Complemento Git de concierto en equipo

    debe actualizarse a la versión 2.0.5

Estas versiones incluyen correcciones a las vulnerabilidades descritas anteriormente. Se considera que todas las versiones anteriores están afectadas por estas vulnerabilidades a menos que se indique lo contrario.

A partir de la publicación de este aviso, no hay correcciones disponibles para los siguientes complementos:

Descubra por qué anunciamos estos problemas.

Crédito

El proyecto Jenkins quisiera agradecer a los periodistas por descubrir y

informar

estas vulnerabilidades:

  • Daniel Beck, CloudBees, Inc.

    para SEGURIDAD-3070

  • Yaroslav Afenkin, CloudBees, Inc.

    para SEGURIDAD-3250, SEGURIDAD-3277, SEGURIDAD-3278



Source link

Saber más  Supere a un phisher: una campaña insta a los usuarios de Internet a tomar medidas contra los phishers.
Translate »