Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en Jenkins

Múltiples vulnerabilidades en Jenkins

Fecha de publicación: 
14/01/2021
Importancia: 
5 - Crítica
Recursos afectados: 

[Actualización 27/01/2021] Se han actualizado los productos afectados tras descubrir un fallo en la actualización anterior:

  • Jenkins weekly, versiones 2.275 y anteriores;
  • Jenkins LTS, versiones 2.263.2 y anteriores.
Descripción: 

Se han publicado varias vulnerabilidades en el core de Jenkins, 6 de severidad alta, 3 medias y una baja.

Solución: 

[Actualización 27/01/2021] Se han actualizado las versiones tras descubrir un fallo en la actualización anterior:

  • Jenkins weekly, actualizar a la versión 2.276;
  • Jenkins LTS, actualizar a la versión 2.263.3.
Detalle: 

Los tipos de vulnerabilidades publicadas, de severidad alta, se corresponden con los siguientes:

  • 2 vulnerabilidades de Cross-Site Scripting (XSS). Se han asignado los identificadores CVE-2021-21603 y CVE-2021-21608 para estas vulnerabilidades.
  • 1 vulnerabilidad de Cross-Site Scripting (XSS) reflejado. Se ha asignado el identificador CVE-2021-21610 para esta vulnerabilidad.
  • 1 vulnerabilidad de Cross-Site Scripting (XSS) almacenado. Se ha asignado el identificador CVE-2021-21611 para esta vulnerabilidad.
  • 1 vulnerabilidad de deserialización de datos no confiables. Se ha asignado el identificador CVE-2021-21604 para esta vulnerabilidad.
  • 1 vulnerabilidad de validación incorrecta de los datos de entrada. Se ha asignado el identificador CVE-2021-21605 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores CVE-2021-21602, CVE-2021-21606, CVE-2021-21607 y CVE-2021-21609.

Encuesta valoración