2020-1445: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-07-07 14:53)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem entfernten Angreifer mit meist erweiterten Benutzerrechten die Durchführung von Cross-Site-Scripting (XSS)-Angriffen und das Ausspähen von Informationen. Weitere Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten das Ausführen beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen, die Eskalation von Privilegien und die Durchführung von Cross-Site-Request-Forgery (CSRF)-Angriffen. In einigen Fällen erfordert ein erfolgreicher Angriff die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten betroffener Systeme haben. Teils hat der Hersteller bisher noch keine Sicherheitsupdates zur Verfügung gestellt.

Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates zur Behebung der Schwachstellen neue Versionen der betroffenen Plugins zur Verfügung. Zur Verfügung stehen hierfür Fortify on Demand Plugin 6.0.1, Sonargraph Integration Plugin 3.0.1, VncRecorder Plugin 1.35, VncViewer Plugin 1.8.

Nach Angaben des Herstellers stehen zu diesem Zeitpunkt keine Sicherheitsupdates zur Behebung von CVE-2020-2208, CVE-2020-2209, CVE-2020-2210, CVE-2020-2211, CVE-2020-2212, CVE-2020-2213, CVE-2020-2214, CVE-2020-2215, CVE-2020-2216, CVE-2020-2217, CVE-2020-2218 und CVE-2020-2219 zur Verfügung.

Schwachstellen:

CVE-2020-2201

Schwachstelle in Sonargraph Integration Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2202

Schwachstelle in Fortify on Demand Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2203

Schwachstelle in Fortify on Demand Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2204

Schwachstelle in Fortify on Demand Plugin ermöglicht Privilegieneskalation

CVE-2020-2205

Schwachstelle in VncRecorder Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2206

Schwachstelle in VncRecorder Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2207

Schwachstelle in VncViewer Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2208

Schwachstelle in Slack Upload Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2209

Schwachstelle in TestComplete support Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2210

Schwachstelle in Stash Branch Parameter Plugin Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2211

Schwachstelle in ElasticBox Jenkins Kubernetes CI/CD Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-2212

Schwachstelle in GitHub Coverage Reporter Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2213

Schwachstelle in White Source Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2214

Schwachstelle in ZAP Pipeline Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-2215

Schwachstelle in Zephyr for JIRA Test Management Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2216

Schwachstelle in Zephyr for JIRA Test Management Plugin ermöglicht Privilegieneskalation

CVE-2020-2217

Schwachstelle in Compatibility Action Storage Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2218

Schwachstelle in HP ALM Quality Center Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2219

Schwachstelle in Link Column Plugin ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.