2020-2016: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2020-09-18 17:14)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in unterschiedlichen Jenkins-Plugins ermöglichen einem meist entfernten Angreifer, der in den meisten Fällen über spezifische Benutzerrechte verfügen muss, die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes, verschiedene Cross-Site-Request-Forgery (CSRF)- sowie Cross-Site-Scripting (XSS)-Angriffe, das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen und die Manipulation von Dateien. Mehrere Angriffe erfordern die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates neue Versionen der betroffenen Plugins bereit. Zur Verfügung stehen derzeit Email Extension Plugin 2.76, Blue Ocean Plugin 1.23.3, Pipeline Maven Integration Plugin 3.9.3, Validating String Parameter Plugin 2.5, CloudBees Plugin 3.2.1, computer-queue-plugin Plugin 1.6 und Perfecto Plugin 1.18.

Nach Angaben des Herstellers stehen zu diesem Zeitpunkt keine Sicherheitsupdates zur Behebung der Schwachstellen CVE-2020-2262, CVE-2020-2263, CVE-2020-2265, CVE-2020-2266, CVE-2020-2267, CVE-2020-2268, CVE-2020-2269, CVE-2020-2270,
CVE-2020-2271, CVE-2020-2272, CVE-2020-2273, CVE-2020-2274, CVE-2020-2275, CVE-2020-2276, CVE-2020-2277, CVE-2020-2278 zur Verfügung.

Schwachstellen:

CVE-2020-2252

Schwachstelle in Mailer Plugin ermöglicht u. a. Ausspähen von Informationen

CVE-2020-2253

Schwachstelle in Email Extension Plugin ermöglicht u. a. Ausspähen von Informationen

CVE-2020-2254

Schwachstelle in Blue Ocean Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2255

Schwachstelle in Blue Ocean Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-2256

Schwachstelle in Pipeline Maven Integration Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2257

Schwachstelle in Validating String Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2258

Schwachstelle in Health Advisor by CloudBees Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2259

Schwachstelle in computer-queue-plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2260

Schwachstelle in Perfecto Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-2261

Schwachstelle in Perfecto Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-2262

Schwachstelle in Android Lint Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2263

Schwachstelle in Radiator View Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2264

Schwachstelle im Custom Job Icon Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2265

Schwachstelle in Coverage/Complexity Scatter Plot Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2266

Schwachstelle in Description Column Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2267

Schwachstelle in MongoDB Plugin ermöglicht Umgehung von Sicherheitsvorkehrungen

CVE-2020-2268

Schwachstelle in MongoDB Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2269

Schwachstelle in chosen-views-tabbar Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2270

Schwachstelle in ClearCase Release Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2271

Schwachstelle in Locked Files Report Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2272

Schwachstelle in ElasTest Plugin ermöglicht Umgehung von Sicherheitsvorkehrungen

CVE-2020-2273

Schwachstelle in ElasTest Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2274

Schwachstelle in ElasTest Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2275

Schwachstelle in Copy data to workspace Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2276

Schwachstelle in Selection tasks Plugin ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2020-2277

Schwachstelle in Storable Configs Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2278

Schwachstelle in Storable Configs Plugin ermöglicht die Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.