2022-1408: Jenkins, Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2022-06-23 19:14)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen sowie Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Zu einer Ausnutzung der Schwachstellen CVE-2022-34183, CVE-2022-34184, CVE-2022-34185, CVE-2022-34186, CVE-2022-34187, CVE-2022-34188, CVE-2022-34189, CVE-2022-34190, CVE-2022-34191, CVE-2022-34192, CVE-2022-34193, CVE-2022-34194, CVE-2022-34195, CVE-2022-34196, CVE-2022-34197 und CVE-2022-34198 bedarf es einer Jenkins-Version, die älter als 2.44 oder LTS 2.32.2 ist, da eine Ausnutzung mit dem Parameter 'Build With Parameters' in diesen Jenkins-Versionen behoben worden ist.

Zur Behebung eines Teils der Schwachstellen stehen die folgenden Plugin-Versionen zur Verfügung: Jenkins weekly 2.356, Jenkins LTS 2.332.4 und 2.346.1, Embeddable Build Status Plugin 2.0.4, Hidden Parameter Plugin 0.0.5, JUnit Plugin 1119.1121.vc43d0fc45561, Nested View Plugin 1.26, Pipeline: Input Step Plugin 449.v77f0e8b_845c4, REST List Parameter Plugin 1.6.0 und xUnit Plugin 3.1.0.

Für Agent Server Parameter Plugin, Beaker builder Plugin, Convertigo Mobile Platform Plugin, CRX Content Package Deployer Plugin, Date Parameter Plugin, Dynamic Extended Choice Parameter Plugin, EasyQA Plugin, Filesystem List Parameter Plugin, Image Tag Parameter Plugin, Jianliao Notification Plugin, Maven Metadata Plugin for Jenkins CI server Plugin, NS-ND Integration Performance Publisher Plugin, ontrack Jenkins Plugin, Package Version Plugin, Readonly Parameter Plugin, Repository Connector Plugin, Sauce OnDemand Plugin, Squash TM Publisher (Squash4Jenkins) Plugin, Stash Branch Parameter Plugin, ThreadFix Plugin und vRealize Orchestrator Plugin stehen zum aktuellen Zeitpunkt noch keine Sicherheitsupdates bereit.

Schwachstellen:

CVE-2022-34170

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34171

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34172

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34173

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34174

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2022-34175

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2022-34176

Schwachstelle in JUnit Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34177

Schwachstelle in Pipeline: Input Step Plugin ermöglicht Manipulation von Dateien

CVE-2022-34178

Schwachstelle in Embeddable Build Status Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34179

Schwachstelle in Embeddable Build Status Plugin ermöglicht Ausspähen von Informationen

CVE-2022-34180

Schwachstelle in Embeddable Build Status Plugin ermöglicht Ausspähen von Informationen

CVE-2022-34181

Schwachstelle in xUnit Plugin ermöglicht u. a. Manipulation von Dateien

CVE-2022-34182

Schwachstelle in Nested View Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34183

Schwachstelle in Agent Server Parameter ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34184

Schwachstelle in CRX Content Package Deployer ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34185

Schwachstelle in Date Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34186

Schwachstelle in Dynamic Extended Choice Parameter ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34187

Schwachstelle in Filesystem List Parameter ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34188

Schwachstelle in Hidden Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34189

Schwachstelle in Image Tag Parameter ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34190

Schwachstelle in Maven Metadata for CI Server ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34191

Schwachstelle in NS-ND Integration Performance Publisher ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34192

Schwachstelle in ontrack Jenkins ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34193

Schwachstelle in Package ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34194

Schwachstelle in Readonly Parameter ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34195

Schwachstelle in Repository Connector ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34196

Schwachstelle in REST List Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34197

Schwachstelle in Sauce OnDemand ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34198

Schwachstelle in Stash Branch Parameter ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-34199

Schwachstelle in Convertigo Mobile Platform Plugin ermöglicht Ausspähen von Informationen

CVE-2022-34200

Schwachstelle in Convertigo Mobile Platform Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-34201

Schwachstelle in Convertigo Mobile Platform Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-34202

Schwachstelle in EasyQA Plugin ermöglicht Ausspähen von Informationen

CVE-2022-34203

Schwachstelle in EasyQA Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-34204

Schwachstelle in EasyQA Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-34205

Schwachstelle in Jianliao Notification Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-34206

Schwachstelle in Jianliao Notification Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-34207

Schwachstelle in Beaker builder Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-34208

Schwachstelle in Beaker builder Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-34209

Schwachstelle in ThreadFix Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-34210

Schwachstelle in ThreadFix Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-34211

Schwachstelle in JvRealize Orchestrator Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-34212

Schwachstelle in vRealize Orchestrator Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-34213

Schwachstelle in Squash TM Publisher (Squash4Jenkins) Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.