2021-1847: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-09-01 17:09)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Informationen auszuspähen sowie XML-External-Entity- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen.
Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.
Der Hersteller informiert über die Schwachstellen und stellt das Code Coverage API Plugin in Version 1.4.1, das SAML Plugin in Version 2.0.8, das Azure AD Plugin in Version 180.v8b1e80e6f242, das Nested View Plugin in Version 1.21 und das Nomad Plugin in Version 0.7.5 bereit.
Schwachstellen:
CVE-2021-21677
Schwachstelle in Code Coverage API Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-21678
Schwachstelle in SAML Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2021-21679
Schwachstelle in Azure AD Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2021-21680
Schwachstelle in Nested View Plugin ermöglicht XML-External-Entity-AngriffCVE-2021-21681
Schwachstelle in Nomad Plugin ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.