2022-0361: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-02-16 16:20)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, falsche Informationen darzustellen sowie Cross-Site-Request-Forgery (CSRF)-, XML-External-Entity (XXE)- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Zur Behebung der aufgeführten Schwachstellen CVE-2022-25173 bis CVE-2022-25195 stehen die folgenden Versionen zur Verfügung: Agent Server Parameter Plugin 1.1, autonomiq Plugin 1.16, Conjur Secrets Plugin 1.0.12, Custom Checkbox Parameter Plugin 1.2, Fortify Plugin 20.2.35, Generic Webhook Trigger Plugin 1.82, HashiCorp Vault Plugin 336.v182c0fbaaeb7, Pipeline: Build Step Plugin 2.15.1, Pipeline: Groovy Plugin 2656.vf7a_e7b_75a_457, Pipeline: Multibranch Plugin 707.v71c3f0a_6ccdb_, Pipeline: Shared Groovy Libraries Plugin 561.va_ce0de3c2d69, Snow Commander Plugin 2.0 und Support Core Plugin 2.79.1.

Ein Teil der referenzierten Schwachstellen (CVE-2022-25196 bis CVE-2022-25212) ist zum jetzigen Zeitpunkt noch offen, da für die folgenden Plugins derzeit keine Sicherheitsupdates zur Verfügung stehen: Checkmarx Plugin, Convertigo Mobile Platform Plugin, dbCharts Plugin, Doktor Plugin, GitLab Authentication Plugin, HashiCorp Vault Plugin, Promoted Builds (Simple) Plugin, SCP publisher Plugin, Chef Sinatra Plugin, SWAMP Plugin und Team Views Plugin.

Schwachstellen:

CVE-2022-25173

Schwachstelle in Jenkins Pipeline: Groovy Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-25174

Schwachstelle in Jenkins Pipeline: Shared Groovy Libraries Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-25175

Schwachstelle in Jenkins Pipeline: Multibranch Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-25176

Schwachstelle in Jenkins Pipeline: Groovy Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25177

Schwachstelle in Jenkins Pipeline: Shared Groovy Libraries Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25178

Schwachstelle in Jenkins Pipeline: Shared Groovy Libraries Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25179

Schwachstelle in Jenkins Pipeline: Multibranch Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25180

Schwachstelle in Jenkins Pipeline: Groovy Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25181

Schwachstelle in Jenkins Pipeline: Shared Groovy Libraries Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-25182

Schwachstelle in Jenkins Pipeline: Shared Groovy Libraries Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-25183

Schwachstelle in Jenkins Pipeline: Shared Groovy Libraries Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-25184

Schwachstelle in Jenkins Pipeline: Build Step Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25185

Schwachstelle in Jenkins Generic Webhook Trigger Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-25186

Schwachstelle in Jenkins HashiCorp Vault Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25187

Schwachstelle in Jenkins Support Core Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25188

Schwachstelle in Jenkins Fortify Plugin ermöglicht Path-Traversal-Angriff

CVE-2022-25189

Schwachstelle in Jenkins Custom Checkbox Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-25190

Schwachstelle in Jenkins Conjur Secrets Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25191

Schwachstelle in Jenkins Agent Server Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-25192

Schwachstelle in Jenkins Snow Commander Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-25193

Schwachstelle in Jenkins Snow Commander Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25194

Schwachstelle in Jenkins autonomiq Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-25195

Schwachstelle in Jenkins autonomiq Plugin ermöglicht Manipulation von Dateien

CVE-2022-25196

Schwachstelle in Jenkins GitLab Authentication Plugin ermöglicht Darstellen falscher Informationen

CVE-2022-25197

Schwachstelle in Jenkins HashiCorp Vault Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25198

Schwachstelle in Jenkins SCP publisher Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-25199

Schwachstelle in Jenkins SCP publisher Plugin ermöglicht Manipulation von Dateien

CVE-2022-25200

Schwachstelle in Jenkins Checkmarx Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-25201

Schwachstelle in Jenkins Checkmarx Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25202

Schwachstelle in Jenkins Promoted Builds (Simple) Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-25203

Schwachstelle in Jenkins Team Views Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-25204

Schwachstelle in Jenkins Doktor Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-25205

Schwachstelle in Jenkins dbCharts Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-25206

Schwachstelle in Jenkins dbCharts Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-25207

Schwachstelle in Jenkins Chef Sinatra Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-25208

Schwachstelle in Jenkins Chef Sinatra Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-25209

Schwachstelle in Jenkins Chef Sinatra Plugin ermöglicht XML-External-Entity-Angriff

CVE-2022-25210

Schwachstelle in Jenkins Convertigo Mobile Platform Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25211

Schwachstelle in Jenkins SWAMP Plugin ermöglicht Ausspähen von Informationen

CVE-2022-25212

Schwachstelle in Jenkins SWAMP Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.