DFN-CERT

Advisory-Archiv

2021-0650: Jenkins Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2021-03-31 14:42)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates neue Versionen der betroffenen Plugins bereit. Zur Verfügung stehen derzeit Build With Parameters Plugin 1.5.1, Cloud Statistics Plugin 0.27, Extra Columns Plugin 1.23, Jabber (XMPP) notifier and control Plugin 1.42, OWASP Dependency-Track Plugin 3.1.1 und REST List Parameter Plugin 1.3.1.

Nach Angaben des Herstellers stehen zu diesem Zeitpunkt keine Sicherheitsupdates zur Behebung der Schwachstellen CVE-2021-21636, CVE-2021-21637 und CVE-2021-21638 in Team Foundation Server Plugin zur Verfügung.

Schwachstellen:

CVE-2021-21628

Schwachstelle in Build With Parameters Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-21629

Schwachstelle in Build With Parameters Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2021-21630

Schwachstelle in Extra Columns Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-21631

Schwachstelle in Cloud Statistics Plugin ermöglicht Ausspähen von Informationen

CVE-2021-21632

Schwachstelle in OWASP Dependency-Track Plugin ermöglicht u. a. Ausspähen von Informationen

CVE-2021-21633

Schwachstelle in OWASP Dependency-Track Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2021-21634

Schwachstelle in Jabber (XMPP) notifier and control Plugin ermöglicht Ausspähen von Informationen

CVE-2021-21635

Schwachstelle in REST List Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-21636

Schwachstelle in Team Foundation Server Plugin ermöglicht Ausspähen von Informationen

CVE-2021-21637

Schwachstelle in Team Foundation Server Plugin ermöglicht Ausspähen von Informationen

CVE-2021-21638

Schwachstelle in Team Foundation Server Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.