2020-2212: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2020-10-09 18:05)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in unterschiedlichen Jenkins-Plugins ermöglichen einem entfernten Angreifer das Durchführen verschiedener Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe sowie eines XML-eXternal-Entity (XXE)-Angriffs, das Eskalieren von Privilegien, das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen. Zudem kann ein lokaler Angreifer mit üblichen Benutzerrechten ebenfalls Informationen ausspähen. Einige der Angriffe erfordern die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates neue Versionen der betroffenen Plugins bereit. Zur Verfügung stehen Active Choices Plugin 2.5, Audit Trail Plugin 3.7, couchdb-statistics Plugin 0.4 und Role-based Authorization Strategy Plugin 3.1.

Schwachstellen:

CVE-2020-2286

Schwachstelle in Role-based Authorization Strategy Plugin ermöglicht Privilegieneskalation

CVE-2020-2287

Schwachstelle in Audit Trail Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-2288

Schwachstelle in Audit Trail Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-2289

Schwachstelle in Active Choices Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2290

Schwachstelle in Active Choices Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2291

Schwachstelle in CouchDB-Statistics Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2292

Schwachstelle in Release Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-2293

Schwachstelle in Persona Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2294

Schwachstelle in Maven Cascade Release Plugin ermöglicht Privilegieneskalation

CVE-2020-2295

Schwachstelle in Maven Cascade Release Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2296

Schwachstelle in Shared Objects Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2297

Schwachstelle in SMS Notification Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2298

Schwachstelle in Nerrvana Plugin ermöglicht XML-eXternal-Entity-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.