Múltiples vulnerabilidades XSS en Jenkins

Fecha de publicación:

16/07/2020

Importancia:

4 - Alta

Recursos afectados:

Jenkins hasta versión 2.244 inclusive.
Jenkins LTS hasta versión 2.235.1 inclusive.

Descripción:

Jenkins ha informado de múltiples vulnerabilidades de tipo Cross-site-scripting (XSS) almacenados que podrían permitir a un atacante remoto ejecutar código arbitrario.

Solución:

Se recomienda instalar las siguientes versiones para solucionar estas vulnerabilidades:

Jenkins versión 2.245.
Jenkins LTS versión 2.235.2.

Detalle:

Las vulnerabilidades encontradas en Jenkins afectan a la página de tendencias de tiempo de compilación, al nombre para mostrar del trabajo ascendente, a los iconos de la insignia Keep forever, y a la página de la consola de compilación.

Se han asignado los identificadores CVE-2020-2220, CVE-2020-2221, CVE-2020-2222 y CVE-2020-2223 para estas vulnerabilidades. Así mismo, Jenkins ha informado de otras vulnerabilidades en diferentes complementos.

Referencias:

Jenkins Security Advisory 2020-07-15

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades XSS en Jenkins

Múltiples vulnerabilidades en Intel Server Boards, Server Systems y Compute Modules

Boletín de seguridad de Microsoft de agosto de 2020

Actualización de seguridad de SAP de agosto de 2020

Vulnerabilidad de inyección de comandos en NETGEAR R8300

Vulnerabilidades en GRUB2 y UEFI Secure Boot