2022-1462: Jenkins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2022-07-04 20:52)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen sowie Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen.
Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Zu einer Ausnutzung der Schwachstelle CVE-2022-34817 bedarf es einer Jenkins-Version, die älter als 2.286 oder LTS 2.277.1 ist.
Zur Behebung eines Teils der Schwachstellen stehen die folgenden Plugin-Versionen zur Verfügung: GitLab Plugin 1.5.35, requests-plugin Plugin 2.2.17, TestNG Results Plugin 555.va0d5f66521e3 und XebiaLabs XL Release Plugin 22.0.1.
Für Build Notifications Plugin, build-metrics Plugin, Cisco Spark Plugin, Deployment Dashboard Plugin, Elasticsearch Query Plugin, eXtreme Feedback Panel Plugin, Failed Job Deactivator Plugin, HPE Network Virtualization Plugin, Jigomerge Plugin, Matrix Reloaded Plugin, OpsGenie Plugin, Plot Plugin, Project Inheritance Plugin, Recipe Plugin, Request Rename Or Delete Plugin, Rich Text Publisher Plugin, RocketChat Notifier Plugin, RQM Plugin, Skype notifier Plugin, Validating Email Parameter Plugin und XPath Configuration Viewer Plugin stehen zum aktuellen Zeitpunkt noch keine Sicherheitsupdates bereit.
Schwachstellen:
CVE-2022-34777
Schwachstelle in GitLab Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34778
Schwachstelle in TestNG Results Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34779
Schwachstelle in XL Release Plugin ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2022-34780
Schwachstelle in XL Release Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2022-34781
Schwachstelle in XL Release Plugin ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2022-34782
Schwachstelle in requests-plugin Plugin ermöglicht Ausspähen von InformationenCVE-2022-34783
Schwachstelle in Plot-Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34784
Schwachstelle in build-metrics Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34785
Schwachstelle in build-metrics Plugin ermöglicht Ausspähen von InformationenCVE-2022-34786
Schwachstelle in Rich Text Publisher Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34787
Schwachstelle in Project Inheritance Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34788
Schwachstelle in Matrix Reloaded Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34789
Schwachstelle in Matrix Reloaded Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2022-34790
Schwachstelle in eXtreme Feedback Panel Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34791
Schwachstelle in Validating Email Parameter Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34792
Schwachstelle in Recipe Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2022-34793
Schwachstelle in Recipe Plugin ermöglicht XML-External-Entity-AngriffCVE-2022-34794
Schwachstelle in Recipe Plugin ermöglicht Ausspähen von InformationenCVE-2022-34795
Schwachstelle in Deployment Dashboard Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2022-34796
Schwachstelle in Deployment Dashboard Plugin ermöglicht Ausspähen von InformationenCVE-2022-34797
Schwachstelle in Deployment Dashboard Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2022-34798
Schwachstelle in Deployment Dashboard Plugin ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2022-34799
Schwachstelle in Deployment Dashboard Plugin ermöglicht Ausspähen von InformationenCVE-2022-34800
Schwachstelle in Build Notifications Plugin ermöglicht Ausspähen von InformationenCVE-2022-34801
Schwachstelle in Build Notifications Plugin ermöglicht Ausspähen von InformationenCVE-2022-34802
Schwachstelle in RocketChat Notifier Plugin ermöglicht Ausspähen von InformationenCVE-2022-34803
Schwachstelle in OpsGenie Plugin ermöglicht Ausspähen von InformationenCVE-2022-34804
Schwachstelle in OpsGenie Plugin ermöglicht Ausspähen von InformationenCVE-2022-34805
Schwachstelle in Skype Notifier Plugin ermöglicht Ausspähen von InformationenCVE-2022-34806
Schwachstelle in Jigomerge Plugin ermöglicht Ausspähen von InformationenCVE-2022-34807
Schwachstelle in Elasticsearch Query Plugin ermöglicht Ausspähen von InformationenCVE-2022-34808
Schwachstelle in Cisco Spark-Plugin ermöglicht Ausspähen von InformationenCVE-2022-34809
Schwachstelle in RQM-Plugin ermöglicht Ausspähen von InformationenCVE-2022-34810
Schwachstelle in RQM-Plugin ermöglicht Ausspähen von InformationenCVE-2022-34811
Schwachstelle in XPath Configuration Viewer Plugin ermöglicht Ausspähen von InformationenCVE-2022-34812
Schwachstelle in XPath Configuration Viewer Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2022-34813
Schwachstelle in XPath Configuration Viewer Plugin ermöglicht Manipulation von DateienCVE-2022-34814
Schwachstelle in Request Rename Or Delete Plugin ermöglicht Ausspähen von InformationenCVE-2022-34815
Schwachstelle in Request Rename Or Delete Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2022-34816
Schwachstelle in HPE Network Virtualization Plugin ermöglicht Ausspähen von InformationenCVE-2022-34817
Schwachstelle in Failed Job Deactivator Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2022-34818
Schwachstelle in Failed Job Deactivator Plugin ermöglicht Manipulation von Dateien
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.