2021-1425: Jenkins, Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten
Historie:
- Version 1 (2021-07-02 09:46)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Privilegien zu eskalieren, falsche Informationen darzustellen, einen XML-External-Entity- und einen Cross-Site-Request-Forgery-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers oder Administrators.
Der Hersteller informiert über die Schwachstellen und stellt als Sicherheitsupdates Jenkins 2.300 und Jenkins LTS 2.289.2 zur Verfügung. Darüber hinaus stehen das CAS Plugin in Version 1.6.1, das requests-plugin Plugin in Version 2.2.13 und das Selenium HTML Report Plugin in Version 1.1 bereit.
Schwachstellen:
CVE-2021-21670
Schwachstelle in Jenkins ermöglicht PrivilegieneskalationCVE-2021-21671
Schwachstelle in Jenkins ermöglicht Erlangen von AdministratorrechtenCVE-2021-21672
Schwachstelle in Selenium HTML Report Plugin ermöglicht XML-External-Entity-AngriffCVE-2021-21673
Schwachstelle in CAS Plugin ermöglicht Darstellen falscher InformationenCVE-2021-21674
Schwachstelle in requests-plugin Plugin ermöglicht Ausspähen von InformationenCVE-2021-21675
Schwachstelle in requests-plugin Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2021-21676
Schwachstelle in requests-plugin Plugin ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.