Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Jenkins

Fecha de publicación 18/07/2019
Importancia
4 - Alta
Recursos Afectados
  • Jenkins Weekly, versiones 2.185 y anteriores.
  • Jenkins LTS, versiones 2.176.1 y anteriores.
Descripción

Jenkins ha publicado 3 vulnerabilidades, una de criticidad alta y dos clasificadas como medias. La explotación de alguna de estas vulnerabilidades podría permitir realizar ataques Cross-site request forgery (CSRF), escribir archivos de forma arbitrario o acceso no autorizado a vista de fragmentos.

Solución
  • Jenkins Weekly actualizar a la versión 2.186.
  • Jenkins LTS versión 2.176.2.
Detalle
  • En la vulnerabilidad de severidad alta, debido a que los tokens en Jenkins solo verifican la autenticación del usuario y la dirección IP, un atacante podría obtener un token de otro usuario y realizar ataques Cross-site request forgery (CSRF), siempre y cuando la dirección IP de la víctima permanezca inalterada. Se ha asignado el identificador CVE-2019-10353 para esta vulnerabilidad.
  • Para el resto de vulnerabilidades se han asignado los identificadores CVE-2019-10352 y CVE-2019-10354.

Encuesta valoración

Listado de referencias
Jenkins Security Advisory 2019-07-17
Etiquetas