Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el plugin de Jenkins (CVE-2019-1003029)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
10/04/2019
Descripción:
Existe una vulnerabilidad de omisión de sandbox en Jenkins Script Security Plugin, en la versión 1.53 y anteriores en src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, que permite a los atacantes con permisos de "Overall/Read" ejecutar código arbitrario en el maestro JVM de Jenkins.
Vulnerabilidad en el plugin Jenkins Matrix Project (CVE-2019-1003031)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
10/04/2019
Descripción:
Existe una vulnerabilidad de omisión de sandbox en el plugin Jenkins Matrix Project, en versiones 1.13 y anteriores, en pom.xml, src/main/java/hudson/matrix/FilterScript.java, que permite a los atacantes con permisos de "Job/Configure" ejecutar código arbitrario en el maestro JVM de Jenkins.
Vulnerabilidad en el plugin Jenkins Email Extension (CVE-2019-1003032)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
21/03/2019
Descripción:
Existe una vulnerabilidad de omisión de sandbox en el plugin Jenkins Email Extension, en su versión 2.64 y anteriores, en pom.xml, src/main/java/hudson/plugins/emailext/ExtendedEmailPublisher.java, src/main/java/hudson/plugins/emailext/plugins/content/EmailExtScript.java, src/main/java/hudson/plugins/emailext/plugins/content/ScriptContent.java y src/main/java/hudson/plugins/emailext/plugins/trigger/AbstractScriptTrigger.jav que permite a los atacantes con permisos de "Job/Configure" ejecutar código arbitrario en el maestro JVM de Jenkins.
Vulnerabilidad en el plugin Jenkins Groovy (CVE-2019-1003033)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
21/03/2019
Descripción:
Existe una vulnerabilidad de omisión de sandbox en el plugin Jenkins Groovy, en su versión 2.1 y anteriores, en pom.xml, src/main/java/hudson/plugins/groovy/StringScriptSource.java que permite a los atacantes con permisos de "Overall/Read" ejecutar código arbitrario en el maestro JVM de Jenkins.
Vulnerabilidad en el plugin Jenkins Job DSL (CVE-2019-1003034)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
10/04/2019
Descripción:
Existe una vulnerabilidad de omisión de sandbox en el plugin Jenkins Job DSL, en versiones 1.71 y anteriores, en job-dsl-core/src/main/groovy/javaposse/jobdsl/dsl/AbstractDslScriptLoader.groovy, job-dsl-plugin/build.gradle, job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/JobDslWhitelist.groovy y job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/SandboxDslScriptLoader.groovy que permite a los atacantes con control sobre las definiciones DSL "Job" ejecutar código arbitrario en el maestro JVM de Jenkins.
Vulnerabilidad en el plugin Jenkins Azure VM Agents (CVE-2019-1003035)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
21/03/2019
Descripción:
Existe una vulnerabilidad de exposición de información en el plugin Jenkins Azure VM Agents, en versiones 0.8.0 y anteriores, en src/main/java/com/microsoft/azure/vmagent/AzureVMAgentTemplate.java y src/main/java/com/microsoft/azure/vmagent/AzureVMCloud.java que permite a los atacantes con permisos de "Overall/Read" realizar la acción de validación de formularios "verify configuration", obteniendo así información limitada sobre la configuración Azure.
Vulnerabilidad en el plugin Jenkins Azure VM Agents (CVE-2019-1003036)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
21/03/2019
Descripción:
Una vulnerabilidad de modificación de datos en el plugin de Jenkins Azure VM Agents, en versiones 0.8.0 y anteriores, en src/main/java/com/microsoft/azure/vmagent/AzureVMAgent.java que permite a los atacantes con permisos de "Overall/Read" adjuntar una red IP pública a un agente de Azure VM.
Vulnerabilidad en el plugin de Jenkins Azure VM Agents (CVE-2019-1003037)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
09/10/2019
Descripción:
Existe una vulnerabilidad de exposición de información en el plugin de Jenkins Azure VM Agents, en versiones 0.8.0 y anteriores, en src/main/java/com/microsoft/azure/vmagent/AzureVMCloud.java que permite a los atacantes con permisos "Overall/Read" enumerar los ID de credenciales de credenciales almacenadas en Jenkins.
Vulnerabilidad en el plugin Jenkins Repository Connector (CVE-2019-1003038)
Gravedad:
BajaBaja
Publication date: 08/03/2019
Last modified:
21/03/2019
Descripción:
Una vulnerabilidad de credenciales protegidas de manera insuficiente en el plugin de Jenkins Repository Connector, en versiones 1.2.4 y anteriores, en src/main/java/org/jvnet/hudson/plugins/repositoryconnector/ArtifactDeployer.java, src/main/java/org/jvnet/hudson/plugins/repositoryconnector/Repository.java y src/main/java/org/jvnet/hudson/plugins/repositoryconnector/UserPwd.java que permite a un atacante con acceso al sistema de archivos local o con control de un navegador del administrador de Jenkins (p.ej. una extensión maliciosa) recuperar la contraseña almacenada en la configuración del plugin.
Vulnerabilidad en el plugin JenkinsAppDynamics Dashboard Plugin (CVE-2019-1003039)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
09/10/2019
Descripción:
Existe una vulnerablidad de credenciales protegidas de manera insuficiente en el plugin JenkinsAppDynamics Dashboard, en versiones 1.0.14 y anteriores, en src/main/java/nl/codecentric/jenkins/appd/AppDynamicsResultsPublisher.java que permite a los atacantes sin permisos para obtener contraseñas que estén configurados en trabajos obtenerlas.
Vulnerabilidad en la herramienta de instalación de Pixar Renderman (CVE-2019-5015)
Gravedad:
AltaAlta
Publication date: 08/03/2019
Last modified:
11/05/2020
Descripción:
Existe una vulnerabilidad de escalado de privilegios locales en la versión para Mac OS X de la herramienta de instalación de Pixar Renderman 22.3.0. Un usuario con acceso local puede aprovechar esta vulnerabilidad para escalar sus privilegios a root. Un atacante necesitaría tener acceso local a la máquina para llevar a cabo un exploit con éxito.
Vulnerabilidad en JBMC DirectAdmin (CVE-2019-9625)
Gravedad:
MediaMedia
Publication date: 07/03/2019
Last modified:
12/03/2019
Descripción:
JBMC DirectAdmin, en su versión 1.55, permite Cross-Site Request Forgery (CSRF) mediante el URI /CMD_ACCOUNT_ADMIN para crear una nueva cuenta de administrador.