2021-0427: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2021-02-25 17:01)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer mit niedrigen Privilegien kann mehrere Schwachstellen aus der Ferne ausnutzen, um Cross-Site-Scripting (XSS)-Angriffe durchzuführen, falsche Informationen darzustellen und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates neue Versionen der betroffenen Plugins bereit. Zur Verfügung stehen derzeit Active Choices Plugin 2.5.3, Artifact Repository Parameter Plugin 1.0.1, Claim Plugin 2.18.2, Configuration Slicing Plugin 1.52, Repository Connector Plugin 2.0.3 und Support Core Plugin 2.72.1.
Schwachstellen:
CVE-2021-21616
Schwachstelle in Active Choices Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2021-21617
Schwachstelle in Configuration Slicing Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2021-21618
Schwachstelle in Repository Connector Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2021-21619
Schwachstelle in Claim Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2021-21620
Schwachstelle in Claim Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2021-21621
Schwachstelle in Support Core Plugin ermöglicht Darstellen falscher InformationenCVE-2021-21622
Schwachstelle in Artifact Repository Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.