2020-0720: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. einen XML-External-Entity-Angriff
Historie:
- Version 1 (2020-04-07 19:20)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Eine Schwachstelle ermöglicht einem entfernten Angreifer mit üblichen Benutzerrechten die Durchführung eines XML-External-Entity-Angriffs und dadurch das Ausspähen von Informationen. Mehrere weitere Schwachstellen ermöglichen einem entfernten Angreifer die Durchführung verschiedener Cross-Site-Scripting (XSS)-Angriffe. Erfolgreiche Angriffe erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten betroffener Systeme haben.
Jenkins informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf die neuesten Versionen der Plugins. Zur Verfügung stehen hierfür AWSEB Deployment Plugin 0.3.20, Code Coverage API Plugin 1.1.5, FitNesse Plugin 1.33, Gatling Plugin 1.3.0 und useMango Runner Plugin 1.5.
Schwachstellen:
CVE-2020-2172
Schwachstelle in Code Coverage API Plugin ermöglicht XML-External-Entity-AngriffCVE-2020-2173
Schwachstelle in Gatling Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2174
Schwachstelle in AWSEB Deployment Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2175
Schwachstelle in FitNesse Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2176
Schwachstelle in useMango Runner Plugin ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.