Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Jenkins

Múltiples vulnerabilidades en Jenkins

Fecha de publicación: 
18/07/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Jenkins Weekly, versiones 2.185 y anteriores.
  • Jenkins LTS, versiones 2.176.1 y anteriores.
Descripción: 

Jenkins ha publicado 3 vulnerabilidades, una de criticidad alta y dos clasificadas como medias. La explotación de alguna de estas vulnerabilidades podría permitir realizar ataques Cross-site request forgery (CSRF), escribir archivos de forma arbitrario o acceso no autorizado a vista de fragmentos.

Solución: 
  • Jenkins Weekly actualizar a la versión 2.186.
  • Jenkins LTS versión 2.176.2.
Detalle: 
  • En la vulnerabilidad de severidad alta, debido a que los tokens en Jenkins solo verifican la autenticación del usuario y la dirección IP, un atacante podría obtener un token de otro usuario y realizar ataques Cross-site request forgery (CSRF), siempre y cuando la dirección IP de la víctima permanezca inalterada. Se ha asignado el identificador CVE-2019-10353 para esta vulnerabilidad.
  • Para el resto de vulnerabilidades se han asignado los identificadores CVE-2019-10352 y CVE-2019-10354.

Encuesta valoración