Múltiples vulnerabilidades XSS en Jenkins

Fecha de publicación:

16/07/2020

Importancia:

4 - Alta

Recursos afectados:

Jenkins hasta versión 2.244 inclusive.
Jenkins LTS hasta versión 2.235.1 inclusive.

Descripción:

Jenkins ha informado de múltiples vulnerabilidades de tipo Cross-site-scripting (XSS) almacenados que podrían permitir a un atacante remoto ejecutar código arbitrario.

Solución:

Se recomienda instalar las siguientes versiones para solucionar estas vulnerabilidades:

Jenkins versión 2.245.
Jenkins LTS versión 2.235.2.

Detalle:

Las vulnerabilidades encontradas en Jenkins afectan a la página de tendencias de tiempo de compilación, al nombre para mostrar del trabajo ascendente, a los iconos de la insignia Keep forever, y a la página de la consola de compilación.

Se han asignado los identificadores CVE-2020-2220, CVE-2020-2221, CVE-2020-2222 y CVE-2020-2223 para estas vulnerabilidades. Así mismo, Jenkins ha informado de otras vulnerabilidades en diferentes complementos.

Referencias:

Jenkins Security Advisory 2020-07-15

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades XSS en Jenkins

Ejecución remota de código en DrayTek Vigor Routers

Múltiples vulnerabilidades en routers Cisco Small Business

Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en routers Arris

Omisión de autenticación en Dell CloudLink