2023-1603: Jenkins: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2023-07-13 18:52)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, Cross-Site-Request-Forgery (CSRF)-Angriffe durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Active Directory Plugin 2.30.1, Datadog Plugin 5.4.2, External Monitor Job Type Plugin 207.v98a_a_37a_85525, mabl Plugin 0.0.47, OpenShift Login Plugin 1.1.0.230.v5d7030b_f5432, Oracle Cloud Infrastructure Compute Plugin 1.0.17, Orka by MacStadium Plugin 1.34 und SAML Single Sign On(SSO) Plugin 2.3.1.

Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung: Assembla Auth Plugin, Benchmark Evaluator Plugin, ElasticBox CI Plugin, MathWorks Polyspace Plugin, Pipeline restFul API Plugin, Rebuilder Plugin, Sumologic Publisher Plugin und Test Results Aggregator Plugin.

Schwachstellen:

CVE-2023-37942

Schwachstelle in External Monitor Job Type Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37943

Schwachstelle in Active Directory Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37944

Schwachstelle in Datadog Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37945

Schwachstelle in SAML Single Sign On(SSO) Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37946

Schwachstelle in OpenShift Login Plugin ermöglicht Erlangen von Administratorrechten

CVE-2023-37947

Schwachstelle in OpenShift Login Plugin ermöglicht Manipulation von Dateien

CVE-2023-37948

Schwachstelle in Oracle Cloud Infrastructure Compute Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-37949

Schwachstelle in Orka by MacStadium Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37950

Schwachstelle in mabl Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37951

Schwachstelle in mabl Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37952

Schwachstelle in mabl Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-37953

Schwachstelle in mabl Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37954

Schwachstelle in Rebuilder Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-37955

Schwachstelle in Test Results Aggregator Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-37956

Schwachstelle in Test Results Aggregator Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37957

Schwachstelle in Pipeline restFul API Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-37958

Schwachstelle in Sumologic Publisher Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-37959

Schwachstelle in Sumologic Publisher Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37960

Schwachstelle in MathWorks Polyspace Plugin ermöglicht Darstellen falscher Informationen

CVE-2023-37961

Schwachstelle in Assembla Auth Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-37962

Schwachstelle in Benchmark Evaluator Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-37963

Schwachstelle in Benchmark Evaluator Plugin ermöglicht Ausspähen von Informationen

CVE-2023-37964

Schwachstelle in ElasticBox CI Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-37965

Schwachstelle in ElasticBox CI Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.