2021-1149: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. XML-External-Entity-Angriffe

Historie:

Version 1 (2021-05-27 11:53)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um mit Hilfe von XML-External-Entites verschiedene Denial-of-Service (DoS)- oder Server-Side-Request-Forgery (SSRF)-Angriffe durchzuführen und Informationen auszuspähen. Eine weitere Schwachstelle ermöglicht dem Angreifer einen persistenten Cross-Site-Scripting (XSS)-Angriff. Für die Ausnutzung aller Schwachstellen sind bestimmte Privilegien erforderlich. Für CVE-2021-21660 ist zusätzlich eine Benutzerinteraktion Voraussetzung.

Der Hersteller informiert über die Schwachstellen und stellt neue Versionen der betroffenen Plugins als Sicherheitsupdates bereit. Zur Verfügung stehen hier Filesystem Trigger Plugin 0.41, Nuget Plugin 1.1, URLTrigger Plugin 0.49 und Markdown Formatter Plugin 0.2.0.

Schwachstellen:

CVE-2021-21657

Schwachstelle in Filesystem Trigger Plugin ermöglicht XML-External-Entity-Angriff

CVE-2021-21658

Schwachstelle in Nuget Plugin ermöglicht XML-External-Entity-Angriff

CVE-2021-21659

Schwachstelle in URLTrigger Plugin ermöglicht XML-External-Entity-Angriff

CVE-2021-21660

Schwachstelle in Markdown Formatter Plugin ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.