2022-1872: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-08-24 13:11)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Zudem kann ein Angreifer eine weitere Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: CollabNet Plugins Plugin 2.0.9, Git Plugin 4.11.5 und Job Configuration History Plugin 1166.vc9f255f45b_8a.

Für Kubernetes Continuous Deploy Plugin steht derzeit kein Patch zur Verfügung, wodurch die schwerwiegendste Schwachstelle CVE-2021-25738 vorerst nicht behoben wird.

Schwachstellen:

CVE-2021-25738

Schwachstelle in Kubernetes Continuous Deploy Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-38663

Schwachstelle in Git Plugin ermöglicht Ausspähen von Informationen

CVE-2022-38664

Schwachstelle in Job Configuration History Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-38665

Schwachstelle in CollabNet Plugins Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.