2022-0709: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2022-03-30 17:13)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen sowie Cross-Site-Request-Forgery (CSRF)-, XML-External-Entity (XXE)- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Zur Behebung der aufgeführten Schwachstellen CVE-2022-28133 bis CVE-2022-28148 stehen die folgenden Versionen zur Verfügung: Bitbucket Server Integration Plugin 3.2.0, Continuous Integration with Toad Edge Plugin 2.4, Flaky Test Handler Plugin 1.2.2, instant-messaging Plugin 1.42, JiraTestResultReporter Plugin 166.v0cc6208295b5, Proxmox Plugin 0.7.1 und RocketChat Notifier Plugin 1.5.0.

Für die Behebung der referenzierten Schwachstellen CVE-2022-28149 bis CVE-2022-28160 stehen zum aktuellen Zeitpunkt noch keine Sicherheitsupdates bereit. Damit sind die folgenden Plugins über die aufgeführten Schwachstellen angreifbar: SiteMonitor Plugin, Tests Selector Plugin, Job and Node ownership Plugin, Pipeline: Phoenix AutoTest Plugin und Coverage/Complexity Scatter Plot Plugin.

Schwachstellen:

CVE-2022-28133

Schwachstelle in Bitbucket Server Integration Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-28134

Schwachstelle in Bitbucket Server Integration Plugin ermöglicht Manipulation von Dateien

CVE-2022-28135

Schwachstelle in instant-messaging Plugin ermöglicht Ausspähen von Informationen

CVE-2022-28136

Schwachstelle in JiraTestResultReporter Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-28137

Schwachstelle in JiraTestResultReporter Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-28138

Schwachstelle in RocketChat Notifier Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-28139

Schwachstelle in RocketChat Notifier Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-28140

Schwachstelle in Flaky Test Handler Plugin ermöglicht XML-External-Entity-Angriff

CVE-2022-28141

Schwachstelle in Proxmox Plugin ermöglicht Ausspähen von Informationen

CVE-2022-28142

Schwachstelle in Proxmox Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-28143

Schwachstelle in Proxmox Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-28144

Schwachstelle in Proxmox Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-28145

Schwachstelle in Continuous Integration with Toad Edge Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-28146

Schwachstelle in Continuous Integration with Toad Edge Plugin ermöglicht Ausspähen von Informationen

CVE-2022-28147

Schwachstelle in Continuous Integration with Toad Edge Plugin ermöglicht Ausspähen von Informationen

CVE-2022-28148

Schwachstelle in Continuous Integration with Toad Edge Plugin ermöglicht Path-Traversal-Angriff

CVE-2022-28149

Schwachstelle in Job and Node ownership Plugin ermöglicht Stored-Cross-Site-Scripting-Angriff

CVE-2022-28150

Schwachstelle in Job and Node ownership Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-28151

Schwachstelle in Job and Node ownership Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-28152

Schwachstelle in Job and Node ownership Plugin rmöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-28153

Schwachstelle in SiteMonitor Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-28154

Schwachstelle in Coverage/Complexity Scatter Plot Plugin ermöglicht XML-External-Entity-Angriff

CVE-2022-28155

Schwachstelle in Pipeline: Phoenix AutoTest Plugin ermöglicht XML-External-Entity-Angriff

CVE-2022-28156

Schwachstelle in Pipeline: Phoenix AutoTest Plugin ermöglicht Ausspähen von Informationen

CVE-2022-28157

Schwachstelle in Pipeline: Phoenix AutoTest Plugin ermöglicht Ausspähen von Informationen

CVE-2022-28158

Schwachstelle in Pipeline: Phoenix AutoTest Plugin ermöglicht Ausspähen von Informationen

CVE-2022-28159

Schwachstelle in Tests Selector Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-28160

Schwachstelle in Tests Selector Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.