2023-0628: Jenkins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Request-Forgery-Angriffe
Historie:
- Version 1 (2023-03-22 12:05)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen sowie verschiedene Cross-Site-Scripting (XSS)-, Cross-Site-Request-Forgery (CSRF)-, XML-eXternal-Entity (XXE)- oder Server-Side-Request-Forgery (SSRF)-Angriffe durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: JaCoCo Plugin 3.3.2.1, OctoPerf Load Testing Plugin Plugin 4.5.1, 4.5.2 und 4.5.3, Pipeline Aggregator View Plugin 1.14 und Role-based Authorization Strategy Plugin 587.588.v850a_20a_30162.
Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung: AbsInt a³ Plugin, Convert To Pipeline Plugin, Cppcheck Plugin, Crap4J Plugin, Mashup Portlets Plugin, Performance Publisher Plugin, Phabricator Differential Plugin, remote-jobs-view-plugin Plugin und Visual Studio Code Metrics Plugin.
Schwachstellen:
CVE-2023-28668
Schwachstelle in Role-based Authorization Strategy Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-28669
Schwachstelle in JaCoCo Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2023-28670
Schwachstelle in Pipeline Aggregator View Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2023-28671
Schwachstelle in OctoPerf Load Testing Plugin Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-28672
Schwachstelle in OctoPerf Load Testing Plugin Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-28673
Schwachstelle in OctoPerf Load Testing Plugin Plugin ermöglicht Ausspähen von InformationenCVE-2023-28674
Schwachstelle in OctoPerf Load Testing Plugin Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-28675
Schwachstelle in OctoPerf Load Testing Plugin Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-28676
Schwachstelle in Convert To Pipeline Plugin ermöglicht u. a. Cross-Site-Request-Forgery-AngriffCVE-2023-28677
Schwachstelle in Convert To Pipeline Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-28678
Schwachstelle in Cppcheck Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2023-28679
Schwachstelle in Mashup Portlets Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2023-28680
Schwachstelle in Crap4J Plugin ermöglicht u. a. XML-External-Entity-AngriffCVE-2023-28681
Schwachstelle in Visual Studio Code Metrics Plugin ermöglicht u. a. XML-External-Entity-AngriffCVE-2023-28682
Schwachstelle in Performance Publisher Plugin ermöglicht u. a. XML-External-Entity-AngriffCVE-2023-28683
Schwachstelle in Performance Publisher Plugin ermöglicht u. a. XML-External-Entity-AngriffCVE-2023-28684
Schwachstelle in remote-jobs-view-plugin Plugin ermöglicht u. a. XML-External-Entity-AngriffCVE-2023-28685
Schwachstelle in AbsInt a³ Plugin ermöglicht u. a. XML-External-Entity-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.