Evasión de sandbox en varios plugins de Jenkins
Fecha de publicación:
30/10/2018
Importancia:
4 -
Alta
Recursos afectados:
- Pipeline: Groovy Plugin
- Script Security Plugin
Descripción:
Se ha publicado un aviso de seguridad que podría permitir a un atacante la evasión de mecanismos de protección proporcionados por la libreria Groovy Sandbox.
Solución:
Actualizar los plugins a las siguientes versiones:
- Pipeline: Groovy Plugin 2.60
- Script Security Plugin 1.48
Detalle:
La biblioteca Groovy Sandbox usada por Script Security Plugin y Pipeline Groovy Plugin no aplica ciertas restricciones del sandbox para finalizar métodos. Esto podría utilizarse para invocar constructores y métodos arbitrarios, evitando así la protección del sandbox.
Referencias:
Etiquetas: