Múltiples vulnerabilidades en Jenkins
Fecha de publicación
18/07/2019
Importancia
4 - Alta
Recursos Afectados
- Jenkins Weekly, versiones 2.185 y anteriores.
- Jenkins LTS, versiones 2.176.1 y anteriores.
Descripción
Jenkins ha publicado 3 vulnerabilidades, una de criticidad alta y dos clasificadas como medias. La explotación de alguna de estas vulnerabilidades podría permitir realizar ataques Cross-site request forgery (CSRF), escribir archivos de forma arbitrario o acceso no autorizado a vista de fragmentos.
Solución
- Jenkins Weekly actualizar a la versión 2.186.
- Jenkins LTS versión 2.176.2.
Detalle
- En la vulnerabilidad de severidad alta, debido a que los tokens en Jenkins solo verifican la autenticación del usuario y la dirección IP, un atacante podría obtener un token de otro usuario y realizar ataques Cross-site request forgery (CSRF), siempre y cuando la dirección IP de la víctima permanezca inalterada. Se ha asignado el identificador CVE-2019-10353 para esta vulnerabilidad.
- Para el resto de vulnerabilidades se han asignado los identificadores CVE-2019-10352 y CVE-2019-10354.
Listado de referencias
Etiquetas