2020-1787: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Request-Forgery-Angriffe
Historie:
- Version 1 (2020-08-13 17:44)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem entfernten Angreifer mit meist einfachen Benutzerrechten verschiedene Cross-Site-Scripting (XSS)-Angriffe, das Ausspähen von Informationen sowie Cross-Site-Request-Forgery (CSRF)-Angriffe. Einige Angriffe erfordern dabei die Interaktion eines Benutzers.
Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates zur Behebung der Schwachstellen Jenkins in den Versionen 2.252 und LTS 2.235.4 und neue Versionen der betroffenen Plugins bereit. Zur Verfügung stehen hierfür Email Extension Plugin 2.74, Pipeline Maven Integration Plugin 3.8.3 und Yet Another Build Visualizer Plugin 1.12.
Nach Angaben des Herstellers steht zu diesem Zeitpunkt kein Sicherheitsupdate zur Behebung von CVE-2020-2237 zur Verfügung.
Schwachstellen:
CVE-2020-2229
Schwachstelle in Help Icons Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2230
Schwachstelle in Project Naming Strategy Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2231
Schwachstelle in Trigger Builds Remotely Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2232
Schwachstelle in Email Extension Plugin ermöglicht Ausspähen von InformationenCVE-2020-2233
Schwachstelle in Pipeline Maven Integration Plugin ermöglicht Ausspähen von InformationenCVE-2020-2234 CVE-2020-2235
Schwachstellen in Pipeline Maven Integration Plugin ermöglichen u. a. Cross-Site-Request-Forgery-AngriffCVE-2020-2236
Schwachstelle in Yet Another Build Visualizer Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-2237
Schwachstelle in Flaky Test Handler Plugin ermöglicht Cross-Site-Request-Forgery-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.