2020-2427: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Benutzerrechten

Historie:

Version 1 (2020-11-06 16:43)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Benutzerrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Darüber hinaus kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen. Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien wie 'Overall/Read' erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates neue Versionen der betroffenen Plugins bereit. Zur Verfügung stehen derzeit Active Directory Plugin 2.20, Ansible Plugin 1.1, AppSpider Plugin 1.0.13, AWS Global Configuration Plugin 1.6, Azure Key Vault Plugin 2.1,
Kubernetes Plugin 1.27.4, Mercurial Plugin 2.12, SQLPlus Script Runner Plugin 2.0.13, Subversion Plugin 2.13.2 und Visualworks Store Plugin 1.1.

Nach Angaben des Herstellers stehen zu diesem Zeitpunkt keine Sicherheitsupdates zur Behebung der Schwachstellen CVE-2020-2316, CVE-2020-2317, CVE-2020-2318 und CVE-2020-2319 in den Plugins FindBugs Plugin, Mail Commander Plugin for Jenkins-ci Plugin, Static Analysis Utilities Plugin und VMware Lab Manager Slaves Plugin zur Verfügung.

Schwachstellen:

CVE-2020-2299

Schwachstelle in Active Directory Plugin ermöglicht Erlangen von Benutzerrechten

CVE-2020-2300

Schwachstelle in Active Directory Plugin ermöglicht Erlangen von Benutzerrechten

CVE-2020-2301

Schwachstelle in Active Directory Plugin ermöglicht Erlangen von Benutzerrechten

CVE-2020-2302

Schwachstelle in Active Directory Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2303

Schwachstelle in Active Directory Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2020-2304

Schwachstelle in Subversion Plugin ermöglicht XML-External-Entity-Angriff

CVE-2020-2305

Schwachstelle in Mercurial Plugin ermöglicht XML-External-Entity-Angriff

CVE-2020-2306

Schwachstelle in Mercurial Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2307

Schwachstelle in Kubernetes Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2308

Schwachstelle in Kubernetes Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2309

Schwachstelle in Kubernetes Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2310

Schwachstelle in Ansible Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2311

Schwachstelle in AWS Global Configuration Plugin ermöglicht Manipulation von Dateien

CVE-2020-2312

Schwachstelle in SQLPlus Script Runner Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2313

Schwachstelle in Azure Key Vault Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2314

Schwachstelle in AppSpider Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2315

Schwachstelle in Visualworks Store Plugin ermöglicht XML-External-Entity-Angriff

CVE-2020-2316

Schwachstelle in Static Analysis Utilities Plugin ermöglicht einen Cross-Site-Scripting-Angriff

CVE-2020-2317

Schwachstelle in FindBugs Plugin ermöglicht einen Cross-Site-Scripting-Angriff

CVE-2020-2318

Schwachstelle in Mail Commander Plugin for Jenkins-ci Plugin ermöglicht Ausspähen von Informationen

CVE-2020-2319

Schwachstelle in VMware Lab Manager Slaves Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.