Gestión inadecuada de cookie en Jenkins
Fecha de publicación 17/01/2019
Importancia
4 - Alta
Recursos Afectados
- Jenkins Weekly, versiones 2.159 y anteriores.
- Jenkins LTS, versiones 2.150.1 y anteriores.
Descripción
Dos vulnerabilidades en Jenkins, una de criticidad alta y otra media, debidas a una incorrecta gestión de la cookie "Remeber me", permitirían a un atacante acceder al sistema de forma persistente o la imposibilidad de invalidar sesiones activas o reiniciar Jenkins.
Solución
Desde Jenkins recomiendan actualizar a las siguientes versiones:
- Jenkins Weekly versión 2.160
- Jenkins LTS versión 2.150.2
Detalle
- La vulnerabilidad de criticidad alta permitiría a usuarios con permisos Overall/RunScripts generar una cookie "Remember me" que no expiraría nunca. Esto daría acceso a un atacante a una instancia de Jenkins, mientras exista el correspondiente usuario en el dominio de seguridad, además de que le permitiría acceder al sistema de manera persistente. [Actualización 28/01/2019] Se ha asignado el identificador CVE-2019-1003003 para esta vulnerabilidad.
[Actualización 28/01/2019]
- Se ha asignado el identificador CVE-2019-1003004 para la vulnerabilidad de criticidad media.
Listado de referencias
Etiquetas