Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades XSS en Jenkins

Fecha de publicación 16/07/2020
Importancia
4 - Alta
Recursos Afectados
  • Jenkins hasta versión 2.244 inclusive.
  • Jenkins LTS hasta versión 2.235.1 inclusive.
Descripción

Jenkins ha informado de múltiples vulnerabilidades de tipo Cross-site-scripting (XSS) almacenados que podrían permitir a un atacante remoto ejecutar código arbitrario.

Solución

Se recomienda instalar las siguientes versiones para solucionar estas vulnerabilidades:

  • Jenkins versión 2.245.
  • Jenkins LTS versión 2.235.2.
Detalle

Las vulnerabilidades encontradas en Jenkins afectan a la página de tendencias de tiempo de compilación, al nombre para mostrar del trabajo ascendente, a los iconos de la insignia Keep forever, y a la página de la consola de compilación.

Se han asignado los identificadores CVE-2020-2220, CVE-2020-2221, CVE-2020-2222 y CVE-2020-2223 para estas vulnerabilidades. Así mismo, Jenkins ha informado de otras vulnerabilidades en diferentes complementos.

Encuesta valoración

Listado de referencias
Jenkins Security Advisory 2020-07-15
Etiquetas