2022-2331: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-10-20 18:04)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Compuware Source Code Download for Endevor, PDS, and ISPW Plugin 2.0.13, Compuware Topaz Utilities Plugin 1.0.9, Compuware Xpediter Code Coverage Plugin 1.0.8, Contrast Continuous Application Security Plugin 3.10, Generic Webhook Trigger Plugin 1.84.2, GitLab Plugin 1.5.36, Job Import Plugin 3.6, Katalon Plugin 1.0.34, Mercurial Plugin 1260.vdfb_723cdcc81, NUnit Plugin 0.28, Pipeline: Deprecated Groovy Libraries Plugin 588.v576c103a_ff86, Pipeline: Groovy Libraries Plugin 613.v9c41a_160233f or 612.614.v48dcb_f62a_640, Pipeline: Groovy Plugin 2803.v1a_f77ffcc773, Pipeline: Input Step Plugin 456.vd8a_957db_5b_e9, Pipeline: Stage View Plugin 2.27, Pipeline: Supporting APIs Plugin 839.v35e2736cfd5c, REPO Plugin 1.16.0, Script Security Plugin 1184.v85d16b_d851b_3 und Tuleap Git Branch Source Plugin 3.2.5.

Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung: Compuware Strobe Measurement Plugin, Compuware Topaz for Total Test Plugin, Custom Checkbox Parameter Plugin, 360 FireLine Plugin, NeuVector Vulnerability Scanner Plugin, S3 Explorer Plugin, ScreenRecorder Plugin und XFramium Builder Plugin.

Schwachstellen:

CVE-2022-43401

Schwachstelle in Script Security Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43402

Schwachstelle in Pipeline: Groovy Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43403

Schwachstelle in Script Security Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43404

Schwachstelle in Script Security Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43405

Schwachstelle in Pipeline: Groovy Libraries Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43406

Schwachstelle in Pipeline: Deprecated Groovy Libraries Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43407

Schwachstelle in Pipeline: Input Step Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43408

Schwachstelle in Pipeline: Stage View ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43409

Schwachstelle in Pipeline: Supporting APIs Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-43410

Schwachstelle in Mercurial Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43411

Schwachstelle in GitLab Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43412

Schwachstelle in Generic Webhook Trigger Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43413

Schwachstelle in Job Import Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43414

Schwachstelle in NUnit Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43415

Schwachstelle in REPO Plugin ermöglicht u. a. Ausspähen von Informationen

CVE-2022-43416

Schwachstelle in Katalon Plugin ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-43417

Schwachstelle in Katalon Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43418

Schwachstelle in Katalon Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43419

Schwachstelle in Katalon Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43420

Schwachstelle in Contrast Continuous Application Security Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-43421

Schwachstelle in Tuleap Git Branch Source Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43422

Schwachstelle in Compuware Topaz Utilities Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43423

Schwachstelle in Compuware Source Code Download for Endevor, PDS, and ISPW Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43424

Schwachstelle in Compuware Xpediter Code Coverage Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43425

Schwachstelle in Custom Checkbox Parameter Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-43426

Schwachstelle in S3 Explorer Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43427

Schwachstelle in Compuware Topaz for Total Test Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43428

Schwachstelle in Compuware Topaz for Total Test Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43429

Schwachstelle in Compuware Topaz for Total Test Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43430

Schwachstelle in Compuware Topaz for Total Test Plugin ermöglicht u. a. Ausspähen von Informationen

CVE-2022-43431

Schwachstelle in Compuware Strobe Measurement Plugin ermöglicht Ausspähen von Informationen

CVE-2022-43432

Schwachstelle in XFramium Builder Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43433

Schwachstelle in ScreenRecorder Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43434

Schwachstelle in NeuVector Vulnerability Scanner Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43435

Schwachstelle in 360 FireLine Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.