Omisión de sandbox en Pipeline y Script Security de Jenkins

Fecha de publicación 09/01/2019
Importancia
4 - Alta
Recursos Afectados
  • Pipeline: Declarative Plugin versión 1.3.4 y anteriores.
  • Pipeline: Groovy Plugin versión 2.61 y anteriores.
  • Script Security Plugin versión 1.49 y anteriores.
Descripción

Orange Tsai, de devcore, ha reportado una vulnerabilidad del tipo omisión del sandbox que afecta a Pipeline y a Script Security de Jenkins, que podría permitir a un atacante la ejecución arbitraria de código.

Solución

Actualizar a las siguientes versiones:

  • Pipeline: Declarative Plugin versión 1.3.4.1
  • Pipeline: Groovy Plugin versión 2.61.1
  • Script Security Plugin versión 1.50
Detalle
  • Una vulnerabilidad del tipo omisión del sandbox en Pipeline y en Script Security, podría permitir a un atacante con permiso Overall/Read o que sea capaz de controlar el contenido de la biblioteca compartida de Jenkinsfile o Pieline en SCM, pasar por alto la protección de la sandbox y ejecutar código arbitrario en el maestro de Jenkins.

Encuesta valoración

 

Listado de referencias