Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Evasión de sandbox en varios plugins de Jenkins

Fecha de publicación 30/10/2018
Importancia
4 - Alta
Recursos Afectados
  • Pipeline: Groovy Plugin
  • Script Security Plugin
Descripción

Se ha publicado un aviso de seguridad que podría permitir a un atacante la evasión de mecanismos de protección proporcionados por la libreria Groovy Sandbox.

Solución

Actualizar los plugins a las siguientes versiones:

  • Pipeline: Groovy Plugin 2.60
  • Script Security Plugin 1.48
Detalle

La biblioteca Groovy Sandbox usada por Script Security Plugin y Pipeline Groovy Plugin no aplica ciertas restricciones del sandbox para finalizar métodos. Esto podría utilizarse para invocar constructores y métodos arbitrarios, evitando así la protección del sandbox.

Encuesta valoración

Listado de referencias
Jenkins Security Advisory 2018-10-29
Etiquetas