2022-2114: Jenkins, Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-09-22 16:55)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, falsche Informationen darzustellen sowie Path-Traversal-, Man-in-the-Middle (MitM)-, Cross-Site-Scripting (XSS)-, XML-External-Entity (XXE)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen. Ein Angreifer kann mehrere weitere Schwachstellen lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Zu einer Ausnutzung der Schwachstelle CVE-2022-41235 bedarf es einer Jenkins-Version, die älter als 2.318 oder LTS 2.303.2 ist, für CVE-2022-41236 älter als 2.287 oder LTS 2.277.2 ist und für CVE-2022-41239 älter als 2.314 oder LTS 2.303.1 ist.

Zur Behebung eines Teils der Schwachstellen stehen die folgenden Plugin-Versionen zur Verfügung: Jenkins weekly 2.370, Anchore Container Image Scanner Plugin 1.0.25, Compuware Common Configuration Plugin 1.0.15 und NS-ND Integration Performance Publisher Plugin 4.8.0.130.

Für Apprenda Plugin, BigPanda Notifier Plugin, Build-Publisher Plugin, CONS3RT Plugin, DotCi Plugin, extreme-feedback Plugin, NS-ND Integration Performance Publisher Plugin, RQM Plugin, Rundeck Plugin, SCM HttpClient Plugin, Security Inspector Plugin, SmallTest Plugin, View26 Test-Reporting Plugin, Walti Plugin, WildFly Deployer Plugin und Worksoft Execution Manager Plugin stehen zum aktuellen Zeitpunkt noch keine Sicherheitsupdates bereit.

Schwachstellen:

CVE-2022-41224

Schwachstelle in Jenkins ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-41225

Schwachstelle in Anchore Container Image Scanner Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-41226

Schwachstelle in Compuware Common Configuration Plugin ermöglicht XML-External-Entity-Angriff

CVE-2022-41227

Schwachstelle in NS-ND Integration Performance Publisher Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-41228

Schwachstelle in NS-ND Integration Performance Publisher Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-41229

Schwachstelle in NS-ND Integration Performance Publisher Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-41230

Schwachstelle in Build-Publisher Plugin ermöglicht Ausspähen von Informationen

CVE-2022-41231

Schwachstelle in Build-Publisher Plugin ermöglicht Path-Traversal-Angriff

CVE-2022-41232

Schwachstelle in Build-Publisher Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-41233

Schwachstelle in Rundeck Plugin ermöglicht Ausspähen von Informationen

CVE-2022-41234

Schwachstelle in Rundeck Plugin ermöglicht Manipulation von Dateien

CVE-2022-41235

Schwachstelle in WildFly Deployer Plugin ermöglicht Ausspähen von Informationen

CVE-2022-41236

Schwachstelle in Inspector Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-41237

Schwachstelle in DotCi Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-41238

Schwachstelle in DotCi Plugin ermöglicht Manipulation von Dateien

CVE-2022-41239

Schwachstelle in DotCi Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-41240

Schwachstelle in Walti Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-41241

Schwachstelle in RQM Plugin ermöglicht XML-External-Entity-Angriff

CVE-2022-41242

Schwachstelle in extreme-feedback Plugin ermöglicht u. a. Ausspähen von Informationen

CVE-2022-41243

Schwachstelle in SmallTest Plugin ermöglicht Man-in-the-Middle-Angriff

CVE-2022-41244

Schwachstelle in View26 Test-Reporting Plugin ermöglicht Man-in-the-Middle-Angriff

CVE-2022-41245

Schwachstelle in Worksoft Execution Manager Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-41246

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2022-41247

Schwachstelle in BigPanda Notifier Plugin ermöglicht Ausspähen von Informationen

CVE-2022-41248

Schwachstelle in BigPanda Notifier Plugin ermöglicht Ausspähen von Informationen

CVE-2022-41249

Schwachstelle in SCM HttpClient Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-41250

Schwachstelle in SCM HttpClient Plugin ermöglicht Ausspähen von Informationen

CVE-2022-41251

Schwachstelle in Apprenda Plugin ermöglicht Ausspähen von Informationen

CVE-2022-41252

Schwachstelle in CONS3RT Plugin ermöglicht Ausspähen von Informationen

CVE-2022-41253

Schwachstelle in CONS3RT Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-41254

Schwachstelle in CONS3RT Plugin ermöglicht Ausspähen von Informationen

CVE-2022-41255

Schwachstelle in CONS3RT Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.