DFN-CERT

Advisory-Archiv

2020-1902: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Request-Forgery-Angriffe

Historie:

Version 1 (2020-09-02 16:23)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in verschiedenen Jenkins-Plugins ermöglichen einem meist entfernten Angreifer, der in den meisten Fällen über übliche Benutzerrechte verfügt, das Durchführen verschiedener Cross-Site-Request-Forgery (CSRF)-, Cross-Site-Scripting (XSS)- und XML-eXternal-Entity (XXE)-Angriffe, das Eskalieren von Privilegien und das Ausspähen von Informationen. Einige Angriffe erfordern die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates neue Versionen der betroffenen Plugins bereit. Zur Verfügung stehen hierfür Build Failure Analyzer Plugin 1.27.1, Cadence vManager Plugin 3.0.5, database Plugin 1.7, Git Parameter Plugin 0.9.13, Parameterized Remote Trigger Plugin 3.1.4 und SoapUI Pro Functional Testing Plugin 1.4.

Nach Angaben des Herstellers stehen zu diesem Zeitpunkt keine Sicherheitsupdates zur Behebung der Schwachstellen CVE-2020-2246, CVE-2020-2247, CVE-2020-2248, CVE-2020-2249 und CVE-2020-2251 zur Verfügung.

Schwachstellen:

CVE-2020-2238

Schwachstelle in Git Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2239

Schwachstelle in Parameterized Remote Trigger Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2240

Schwachstelle in database Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2241 CVE-2020-2242

Schwachstellen in database Plugin ermöglichen u. a. Cross-Site-Request-Forgery-Angriff

CVE-2020-2243

Schwachstelle in Cadence vManager Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2244

Schwachstelle in Build Failure Analyzer Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2245

Schwachstelle in Valgrind Plugin ermöglicht XML-eXternal-Entity-Angriff

CVE-2020-2246

Schwachstelle in Valgrind Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2247

Schwachstelle in Klocwork Analysis Plugin ermöglicht XML-eXternal-Entity-Angriff

CVE-2020-2248

Schwachstelle in JSGames Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2249

Schwachstelle in Team Foundation Server Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2250

Schwachstelle in SoapUI Pro Functional Testing Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2251

Schwachstelle in SoapUI Pro Functional Testing Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.