2017-2204: Jenkins: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2017-12-05 18:19)

Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer mit Administratorrechten kann einen Cross-Site-Scripting (XSS)-Angriff gegen Benutzer von Jenkins durchführen.

Der Hersteller plant kein Sicherheitsupdate zur Behebung der Schwachstelle, da Administratoren in Jenkins gemäß ihrer Rollendefinition bereits alle Rechte haben, um die durch die genannte Schwachstelle möglichen Angriffe durchzuführen. Für Installationen, in denen die Rechte von Administratoren eingeschränkt sind, stellt das Jenkins-Projekt ein Plugin bereit, mit dem die Schwachstelle mitigiert wird. Dieses Plugin ist offen verfügbar, muss aber selbst gebaut werden und wird voraussichtlich nicht gepflegt.

Schwachstellen:

SECURITY-624

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.