Omisión de sandbox en Pipeline y Script Security de Jenkins
Fecha de publicación 09/01/2019
Importancia
4 - Alta
Recursos Afectados
- Pipeline: Declarative Plugin versión 1.3.4 y anteriores.
- Pipeline: Groovy Plugin versión 2.61 y anteriores.
- Script Security Plugin versión 1.49 y anteriores.
Descripción
Orange Tsai, de devcore, ha reportado una vulnerabilidad del tipo omisión del sandbox que afecta a Pipeline y a Script Security de Jenkins, que podría permitir a un atacante la ejecución arbitraria de código.
Solución
Actualizar a las siguientes versiones:
- Pipeline: Declarative Plugin versión 1.3.4.1
- Pipeline: Groovy Plugin versión 2.61.1
- Script Security Plugin versión 1.50
Detalle
- Una vulnerabilidad del tipo omisión del sandbox en Pipeline y en Script Security, podría permitir a un atacante con permiso Overall/Read o que sea capaz de controlar el contenido de la biblioteca compartida de Jenkinsfile o Pieline en SCM, pasar por alto la protección de la sandbox y ejecutar código arbitrario en el maestro de Jenkins.
Listado de referencias
Etiquetas