2022-0604: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2022-03-17 10:21)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen sowie Cross-Site-Request-Forgery (CSRF)-, XML-External-Entity (XXE)- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Mehrere weitere Schwachstellen erlauben einem lokalen Angreifer das Ausspähen von Informationen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Zur Behebung der Schwachstellen CVE-2022-27195 bis CVE-2022-27201 stehen die folgenden Versionen zur Verfügung: Parameterized Trigger Plugin 2.43.1, Favorite Plugin 2.4.1, Dashboard View Plugin 2.18.1, CloudBees AWS Credentials Plugin 191.vcb_f183ce58b_9, Folder-based Authorization Strategy Plugin 1.4 sowie Semantic Versioning Plugin 1.14.

Für die Behebung der referenzierten Schwachstellen CVE-2022-27202 bis CVE-2022-27218 stehen zum aktuellen Zeitpunkt noch keine Sicherheitsupdates bereit. Damit sind die folgenden Plugins über die aufgeführten Schwachstellen angreifbar: Extended Choice Parameter Plugin, GitLab Authentication Plugin, global-build-stats Plugin, Kubernetes Continuous Deploy Plugin, List Git Branches Parameter Plugin, Environment Dashboard Plugin, Release Helper Plugin, dbCharts Plugin, Vmware vRealize CodeStream Plugin sowie incapptic connect uploader Plugin.

Schwachstellen:

CVE-2022-27195

Schwachstelle in Parameterized Trigger Plugin ermöglicht Ausspähen von Informationen

CVE-2022-27196

Schwachstelle in Favorite Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-27197

Schwachstelle in Dashboard View Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-27198

Schwachstelle in CloudBees AWS Credentials Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-27199

Schwachstelle in CloudBees AWS Credentials Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-27200

Schwachstelle in Folder-based Authorization Strategy Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-27201

Schwachstelle in Semantic Versioning Plugin ermöglicht XML-External-Entity-Angriff

CVE-2022-27202

Schwachstelle in Extended Choice Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-27203

Schwachstelle in Extended Choice Parameter Plugin ermöglicht Ausspähen von Informationen

CVE-2022-27204

Schwachstelle in Extended Choice Parameter Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-27205

Schwachstelle in Extended Choice Parameter Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-27206

Schwachstelle in GitLab Authentication Plugin ermöglicht Ausspähen von Informationen

CVE-2022-27207

Schwachstelle in global-build-stats Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-27208

Schwachstelle in Kubernetes Continuous Deploy Plugin ermöglicht Ausspähen von Informationen

CVE-2022-27209

Schwachstelle in Kubernetes Continuous Deploy Plugin ermöglicht Ausspähen von Informationen

CVE-2022-27210

Schwachstelle in Kubernetes Continuous Deploy Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-27211

Schwachstelle in Kubernetes Continuous Deploy Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-27212

Schwachstelle in List Git Branches Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-27213

Schwachstelle in Environment Dashboard Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-27214

Schwachstelle in Release Helper Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-27215

Schwachstelle in Release Helper Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-27216

Schwachstelle in dbCharts Plugin ermöglicht Ausspähen von Informationen

CVE-2022-27217

Schwachstelle in Vmware vRealize CodeStream Plugin ermöglicht Ausspähen von Informationen

CVE-2022-27218

Schwachstelle in incapptic connect uploader Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.