2021-0711: Jenkins, Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2021-04-08 20:31)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Daten zu manipulieren, Sicherheitsvorkehrungen zu umgehen sowie Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen. Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-22510 erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates Jenkins 2.287 und Jenkins LTS 2.277.2 zur Verfügung. Darüber hinaus stehen das Micro Focus Application Automation Tools Plugin in Version 6.8 und das promoted builds Plugin in Version 3.9.1 bereit.

Schwachstellen:

CVE-2021-21639

Schwachstelle in Jenkins ermöglicht Manipulation von Daten

CVE-2021-21640

Schwachstelle in Jenkins ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-21641

Schwachstelle in promoted builds Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2021-22510

Schwachstelle in Micro Focus Application Automation Tools Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-22511

Schwachstelle in Micro Focus Application Automation Tools Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-22512

Schwachstelle in Micro Focus Application Automation Tools Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2021-22513

Schwachstelle in Micro Focus Application Automation Tools Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.