DFN-CERT

Advisory-Archiv

2023-1382: Jenkins: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2023-06-15 19:33)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen sowie Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen.

Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Jenkins weekly 2.400, Jenkins LTS 2.401.1, Checkmarx Plugin 2023.2.6, Dimensions Plugin 0.9.3.1 und Team Concert Plugin 2.4.2.

Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung: AWS CodeCommit Trigger Plugin, Digital.ai App Management Publisher Plugin, Maven Repository Server Plugin, Sonargraph Integration Plugin und Template Workflows Plugin.

Schwachstellen:

CVE-2023-32261

Schwachstelle in Dimensions Plugin ermöglicht Ausspähen von Informationen

CVE-2023-32262

Schwachstelle in Dimensions Plugin ermöglicht Ausspähen von Informationen

CVE-2023-35141

Schwachstelle in Jenkins ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-35142

Schwachstelle in Checkmarx Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-35143

Schwachstelle in Maven Repository Server Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-35144

Schwachstelle in Maven Repository Server Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-35145

Schwachstelle in Sonargraph Integration Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-35146

Schwachstelle in Template Workflows Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-35147

Schwachstelle in Jenkins ermöglicht Ausspähen von Informationen

CVE-2023-35148

Schwachstelle in Digital.ai App Management Publisher Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-35149

Schwachstelle in Digital.ai App Management Publisher Plugin ermöglicht Ausspähen von Informationen

SECURITY-2932

Schwachstelle in Team Concert Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.