DFN-CERT

Advisory-Archiv

2020-1170: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-06-05 19:15)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter Angreifer, meist mit üblichen Benutzerrechten, kann mehrere Schwachstellen ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen, verschiedene Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen, Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen. Ein erfolgreicher Angriff erfordert meist die Interaktion eines Benutzers und kann in einigen Fällen Einfluss auf andere Komponenten betroffener Systeme haben.

Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates zur Behebung der Schwachstellen neue Versionen der betroffenen Plugins zur Verfügung. Zur Verfügung stehen hierfür Compact Columns Plugin 1.12, ECharts API Plugin 4.7.0-4, Script Security Plugin 1.73 und Self-Organizing Swarm Plug-in Modules Plugin 3.21.

Nach Angaben des Herstellers stehen zu diesem Zeitpunkt keine Sicherheitsupdates zur Behebung von CVE-2020-2196, CVE-2020-2197, CVE-2020-2198, CVE-2020-2199 und CVE-2020-2200 zur Verfügung.

Schwachstellen:

CVE-2020-2190

Schwachstelle in Script Security Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2191

Schwachstelle in Self-Organizing Swarm Plug-in Modules Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-2192

Schwachstelle in Self-Organizing Swarm Plug-in Modules Plugin ermöglicht Cross-Site-Request-Forgery (CSRF)-Angriff

CVE-2020-2193

Schwachstelle in ECharts API Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2194

Schwachstelle in ECharts API Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2195

Schwachstelle in Compact Columns Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2196

Schwachstelle in Selenium Plugin ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-2197

Schwachstelle in Project Inheritance Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2198

Schwachstelle in Project Inheritance Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2199

Schwachstelle in Subversion Partial Release Manager Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2200

Schwachstelle in Play Framework Plugin ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.