2022-2580: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-11-16 16:50)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen sowie Cross-Site-Scripting (XSS)-, Cross-Site-Request-Forgery (CSRF) und XML-eXternal-Entity (XXE)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: CloudBees Docker Hub/Registry Notification Plugin 2.6.2.1, JUnit Plugin 1160.vf1f01a_a_ea_b_7f, Naginator Plugin 1.18.2, NS-ND Integration Performance Publisher Plugin 4.8.0.146 (bisher ohne Fix für CVE-2022-38666), Pipeline Utility Steps Plugin 2.13.2, Reverse Proxy Auth Plugin 1.7.4, Script Security Plugin 1190.v65867a_a_47126 sowie Support Core Plugin 1206.1208.v9b_7a_1d48db_0f.

Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung: Associated Files Plugin, BART Plugin, CCCC Plugin, Cluster Statistics Plugin, Config Rotator Plugin, Delete log Plugin, JAPEX Plugin, loader.io Plugin, NS-ND Integration Performance Publisher Plugin (nur CVE-2022-38666), OSF Builder Suite : : XML Linter Plugin, SourceMonitor Plugin, Violations Plugin und XP-Dev Plugin.

Das Config Rotator Plugin (config-rotator) wurde vom Jenkins-Sicherheitsteam suspendiert.

Schwachstellen:

CVE-2022-33980

Schwachstelle in Apache Commons ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-38666

Schwachstelle in Jenkins NS-ND Integration Performance Publisher Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-45379

Schwachstelle in Jenkins Script Security Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-45380

Schwachstelle in Jenkins JUnit Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-45381

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2022-45382

Schwachstelle in Jenkins Naginator Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-45383

Schwachstelle in Jenkins Support Core Plugin ermöglicht Ausspähen von Informationen

CVE-2022-45384

Schwachstelle in Jenkins Reverse Proxy Auth Plugin ermöglicht Ausspähen von Informationen

CVE-2022-45385

Schwachstelle in Jenkins CloudBees Docker Hub/Registry Notification Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-45386

Schwachstelle in Jenkins Violations Plugin ermöglicht XML-External-Entity-Angriff

CVE-2022-45387

Schwachstelle in Jenkins BART Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-45388

Schwachstelle in Jenkins Config Rotator Plugin ermöglicht Ausspähen von Informationen

CVE-2022-45389

Schwachstelle in Jenkins XP-Dev Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-45390

Schwachstelle in Jenkins loader.io Plugin ermöglicht Ausspähen von Informationen

CVE-2022-45391

Schwachstelle in Jenkins NS-ND Integration Performance Publisher Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-45392

Schwachstelle in Jenkins NS-ND Integration Performance Publisher Plugin ermöglicht Ausspähen von Informationen

CVE-2022-45393

Schwachstelle in Jenkins Delete log Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-45394

Schwachstelle in Jenkins Delete log Plugin ermöglicht Manipulation von Dateien

CVE-2022-45395

Schwachstelle in Jenkins CCCC Plugin ermöglicht XML-eXternal-Entity-Angriff

CVE-2022-45396

Schwachstelle in Jenkins SourceMonitor Plugin ermöglicht XML-eXternal-Entity-Angriff

CVE-2022-45397

Schwachstelle in Jenkins OSF Builder Suite : : XML Linter Plugin ermöglicht XML-eXternal-Entity-Angriff

CVE-2022-45398

Schwachstelle in Jenkins Cluster Statistics Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2022-45399

Schwachstelle in Jenkins Cluster Statistics Plugin ermöglicht Manipulation von Dateien

CVE-2022-45400

Schwachstelle in Jenkins JAPEX Plugin ermöglicht XML-eXternal-Entity-Angriff

CVE-2022-45401

Schwachstelle in Jenkins Associated Files Plugin ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.