Inicio / Alerta Temprana / Avisos Seguridad / Omisión de sandbox en Pipeline y Script Security de Jenkins

Omisión de sandbox en Pipeline y Script Security de Jenkins

Fecha de publicación: 
09/01/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Pipeline: Declarative Plugin versión 1.3.4 y anteriores.
  • Pipeline: Groovy Plugin versión 2.61 y anteriores.
  • Script Security Plugin versión 1.49 y anteriores.
Descripción: 

Orange Tsai, de devcore, ha reportado una vulnerabilidad del tipo omisión del sandbox que afecta a Pipeline y a Script Security de Jenkins, que podría permitir a un atacante la ejecución arbitraria de código.

Solución: 

Actualizar a las siguientes versiones:

  • Pipeline: Declarative Plugin versión 1.3.4.1
  • Pipeline: Groovy Plugin versión 2.61.1
  • Script Security Plugin versión 1.50
Detalle: 
  • Una vulnerabilidad del tipo omisión del sandbox en Pipeline y en Script Security, podría permitir a un atacante con permiso Overall/Read o que sea capaz de controlar el contenido de la biblioteca compartida de Jenkinsfile o Pieline en SCM, pasar por alto la protección de la sandbox y ejecutar código arbitrario en el maestro de Jenkins.

Encuesta valoración