Inicio / Content / Boletín de INCIBE-CERT del 26-03-2020

Boletín de INCIBE-CERT del 26-03-2020

Múltiples vulnerabilidades en Jenkins

Fecha de publicación: 
26/03/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Jenkins LTS, versión 2.204.5 y anteriores;
  • Jenkins weekly, versión 2.227 y anteriores.
Descripción: 

Jenkins ha detectado 4 vulnerabilidades, una de criticidad alta y 3 medias, que afectan a su core y permitirían realizar ataques de tipo CSRF (Cross-Site Request Forgery) y XSS (Cross-Site Scripting) persistente.

Solución: 
  • Jenkins LTS, actualizar a la versión 2.204.6 o 2.222.1;
  • Jenkins weekly, actualizar a la versión 2.228.
Detalle: 
  • Un punto de extensión en Jenkins permite desactivar selectivamente la protección contra ataques de tipo CSRF para URL específicas, ya que recibe una representación diferente de la ruta de la URL de la que el framework para aplicaciones web Stapler utiliza para realizar solicitudes de envío. Se ha asignado el identificador CVE-2020-2160 para esta vulnerabilidad.
  • Para las vulnerabilidades de severidad media, se han asignado los identificadores: CVE-2020-2161, CVE-2020-2162 y CVE-2020-2163.

Encuesta valoración

Vulnerabilidad de escalada de privilegios en WebSphere Application Server de IBM

Fecha de publicación: 
26/03/2020
Importancia: 
4 - Alta
Recursos afectados: 

WebSphere Application Server, versiones 7.0, 8.0, 8.5 y 9.0.

Descripción: 

IBM ha publicado una vulnerabilidad en WebSphere Application Server que podría permitir a un atacante la escalada de privilegios.

Solución: 

Aplicar las siguientes actualizaciones en función de la versión:

  • Desde la V9.0.0.0 hasta la 9.0.5.3:
    • Actualizar según los requisitos del interim fix y luego aplicar el Interim Fix PH21511, o aplicar el Fix Pack 9.0.5.4 o posterior (disponible en el segundo cuatrimestre de 2020).
  • Desde la V8.5.0.0 hasta la 8.5.5.17:
    • Actualizar según los requisitos del interim fix y luego aplicar el Interim Fix PH21511, o aplicar el Fix Pack 8.5.5.18 o posterior (disponible en el tercer cuatrimestre de 2020).
  • Desde la V8.0.0.0 hasta 8.0.0.15:
  • Desde la V7.0.0.0 hasta la 7.0.0.45:
Detalle: 

Una vulnerabilidad en IBM WebSphere Application Server podría permitir a un atacante la escalada de privilegios cuando se utiliza la autenticación basada en tokens en una solicitud de administración sobre el conector SOAP. Se ha reservado el identificador CVE-2020-4276 para esta vulnerabilidad.

Encuesta valoración