2023-1136: Jenkins: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten
Historie:
- Version 1 (2023-05-17 15:43)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen sowie Man-in-the-Middle-, Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Ansible Plugin 205.v4cb_c48657c21, AppSpider Plugin 1.0.16, Azure VM Agents Plugin 853.v4a_1a_dd947520, CAS Plugin 1.6.3, Code Dx Plugin 4.0.0, Email Extension Plugin 2.96.1, File Parameter Plugin 285.287.v4b_7b_29d3469d, LDAP Plugin 676.vfa_64cf6b_b_002, NS-ND Integration Performance Publisher Plugin 4.11.0.48, Pipeline Utility Steps Plugin 2.15.3, Pipeline: Job Plugin 1295.v395eb_7400005, Reverse Proxy Auth Plugin 1.7.5, SAML Single Sign On(SSO) Plugin 2.1.0, 2.2.0 und 2.0.1, Sidebar Link Plugin 2.2.2 und TestNG Results Plugin 730.732.v959a_3a_a_eb_a_72.
Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung: HashiCorp Vault Plugin, LoadComplete support Plugin, Tag Profiler Plugin, TestComplete support Plugin und WSO2 Oauth Plugin.
Schwachstellen:
CVE-2023-2195
Schwachstelle in Code Dx Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-2196
Schwachstelle in Code Dx Plugin ermöglicht Ausspähen von InformationenCVE-2023-2631
Schwachstelle in Code Dx Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-2632
Schwachstelle in Code Dx Plugin ermöglicht Ausspähen von InformationenCVE-2023-2633
Schwachstelle in Code Dx Plugin ermöglicht Ausspähen von InformationenCVE-2023-32977
Schwachstelle in Pipeline: Job Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2023-32978
Schwachstelle in LDAP Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-32979
Schwachstelle in Email Extension Plugin ermöglicht Ausspähen von InformationenCVE-2023-32980
Schwachstelle in Email Extension Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-32981
Schwachstelle in Pipeline Utility Steps Plugin ermöglicht Manipulation von DateienCVE-2023-32982
Schwachstelle in Ansible Plugin ermöglicht Ausspähen von InformationenCVE-2023-32983
Schwachstelle in Ansible Plugin ermöglicht Ausspähen von InformationenCVE-2023-32984
Schwachstelle in TestNG Results Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2023-32985
Schwachstelle in Sidebar Link Plugin ermöglicht Ausspähen von InformationenCVE-2023-32986
Schwachstelle in File Parameter Plugin ermöglicht Manipulation von DateienCVE-2023-32987
Schwachstelle in Reverse Proxy Auth Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-32988
Schwachstelle in Azure VM Agents Plugin ermöglicht Ausspähen von InformationenCVE-2023-32989
Schwachstelle in Azure VM Agents Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-32990
Schwachstelle in Azure VM Agents Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-32991
Schwachstelle in SAML Single Sign On(SSO) Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-32992
Schwachstelle in SAML Single Sign On(SSO) Plugin ermöglicht u. a. XML-External-Entity-AngriffCVE-2023-32993
Schwachstelle in SAML Single Sign On(SSO) Plugin ermöglicht Man-in-the-Middle-AngriffCVE-2023-32994
Schwachstelle in SAML Single Sign On(SSO) Plugin ermöglicht Man-in-the-Middle-AngriffCVE-2023-32995
Schwachstelle in SAML Single Sign On(SSO) Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-32996
Schwachstelle in SAML Single Sign On(SSO) Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-32997
Schwachstelle in CAS Plugin ermöglicht Erlangen von AdministratorrechtenCVE-2023-32998
Schwachstelle in AppSpider Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-32999
Schwachstelle in AppSpider Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-33000
Schwachstelle in NS-ND Integration Performance Publisher Plugin ermöglicht Ausspähen von InformationenCVE-2023-33001
Schwachstelle in HashiCorp Vault Plugin ermöglicht Ausspähen von InformationenCVE-2023-33002
Schwachstelle in TestComplete support Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2023-33003
Schwachstelle in Tag Profiler Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-33004
Schwachstelle in Tag Profiler Plugin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-33005
Schwachstelle in WSO2 Oauth Plugin ermöglicht Erlangen von AdministratorrechtenCVE-2023-33006
Schwachstelle in WSO2 Oauth Plugin ermöglicht Cross-Site-Request-Forgery-AngriffCVE-2023-33007
Schwachstelle in LoadComplete support Plugin ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.