2023-0826: Jenkins: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2023-04-13 12:18)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting (XSS)-Angriff und verschiedene Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Azure Key Vault Plugin 188.vf46b_7fa_846a_1 und Kubernetes Plugin 3910.ve59cec5e33ea_.

Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung: Assembla merge request builder Plugin, Consul KV Builder Plugin, Fogbugz Plugin, Image Tag Parameter Plugin, Lucene-Search Plugin, NeuVector Vulnerability Scanner Plugin, Quay.io trigger Plugin, Report Portal Plugin, Thycotic DevOps Secrets Vault Plugin, Thycotic Secret Server Plugin, TurboScript Plugin und WSO2 Oauth Plugin.

Schwachstellen:

CVE-2023-30513

Schwachstelle in Jenkins Kubernetes Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30514

Schwachstelle in Jenkins Azure Key Vault Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30515

Schwachstelle in Jenkins Thycotic DevOps Secrets Vault Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30516

Schwachstelle in Image Tag Parameter Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30517

Schwachstelle in NeuVector Vulnerability Scanner Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-30518

Schwachstelle in Thycotic Secret Server Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30519

Schwachstelle in Quay.io trigger Plugin ermöglicht Manipulation von Dateien

CVE-2023-30520

Schwachstelle in Quay.io trigger Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-30521

Schwachstelle in Assembla merge request builder Plugin ermöglicht Manipulation von Dateien

CVE-2023-30522

Schwachstelle in Fogbugz Plugin ermöglicht Manipulation von Dateien

CVE-2023-30523

Schwachstelle in Report Portal Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30524

Schwachstelle in Report Portal Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30525

Schwachstelle in Report Portal Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-30526

Schwachstelle in Report Portal Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-30527

Schwachstelle in WSO2 Oauth Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30528

Schwachstelle in WSO2 Oauth Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30529

Schwachstelle in Lucene-Search Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-30530

Schwachstelle in Consul KV Builder Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30531

Schwachstelle in Consul KV Builder Plugin ermöglicht Ausspähen von Informationen

CVE-2023-30532

Schwachstelle in TurboScript Plugin ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.