Gestión inadecuada de cookie en Jenkins

Fecha de publicación 17/01/2019
Importancia
4 - Alta
Recursos Afectados
  • Jenkins Weekly, versiones 2.159 y anteriores.
  • Jenkins LTS, versiones 2.150.1 y anteriores.
Descripción

Dos vulnerabilidades en Jenkins, una de criticidad alta y otra media, debidas a una incorrecta gestión de la cookie "Remeber me", permitirían a un atacante acceder al sistema de forma persistente o la imposibilidad de invalidar sesiones activas o reiniciar Jenkins.

Solución

Desde Jenkins recomiendan actualizar a las siguientes versiones:

  • Jenkins Weekly versión 2.160
  • Jenkins LTS versión 2.150.2
Detalle
  • La vulnerabilidad de criticidad alta permitiría a usuarios con permisos Overall/RunScripts generar una cookie "Remember me" que no expiraría nunca. Esto daría acceso a un atacante a una instancia de Jenkins, mientras exista el correspondiente usuario en el dominio de seguridad, además de que le permitiría acceder al sistema de manera persistente. [Actualización 28/01/2019] Se ha asignado el identificador CVE-2019-1003003 para esta vulnerabilidad.

[Actualización 28/01/2019]

  • Se ha asignado el identificador CVE-2019-1003004 para la vulnerabilidad de criticidad media.

Encuesta valoración