2023-1907: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Request-Forgery-Angriffe

Historie:

Version 1 (2023-08-17 16:18)

Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen sowie HTML-Injektion-, Cross-Site-Request-Forgery (CSRF)- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Blue Ocean Plugin 1.27.5.1, Config File Provider Plugin 953.v0432a_802e4d2, Delphix Plugin 3.0.3, Flaky Test Handler Plugin 1.2.3, Folders Plugin 6.848.ve3b_fd7839a_81, Fortify Plugin 22.2.39, NodeJS Plugin 1.6.0.1, Shortcut Job Plugin 0.5 und Tuleap Authentication Plugin 1.1.21.

Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung: Docker Swarm Plugin, Favorite View Plugin, Gogs Plugin und Maven Artifact ChoiceListProvider (Nexus) Plugin.

Schwachstellen:

CVE-2023-40336

Schwachstelle in Folders Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-40337

Schwachstelle in Folders Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-40338

Schwachstelle in Folders Plugin ermöglicht Ausspähen von Informationen

CVE-2023-40339

Schwachstelle in Config File Provider Plugin ermöglicht Ausspähen von Informationen

CVE-2023-40340

Schwachstelle in NodeJS Plugin ermöglicht Ausspähen von Informationen

CVE-2023-40341

Schwachstelle in Blue Ocean Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-40342

Schwachstelle in Flaky Test Handler Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-40343

Schwachstelle in Tuleap Authentication Plugin ermöglicht Ausspähen von Informationen

CVE-2023-40344

Schwachstelle in Delphix Plugin ermöglicht Ausspähen von Informationen

CVE-2023-40345

Schwachstelle in Delphix Plugin ermöglicht Ausspähen von Informationen

CVE-2023-40346

Schwachstelle in Shortcut Job Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-40347

Schwachstelle in Maven Artifact ChoiceListProvider (Nexus) Plugin ermöglicht Ausspähen von Informationen

CVE-2023-40348

Schwachstelle in Gogs Plugin ermöglicht Ausspähen von Informationen

CVE-2023-40349

Schwachstelle in Gogs Plugin ermöglicht Manipulation von Dateien

CVE-2023-40350

Schwachstelle in Docker Swarm Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-40351

Schwachstelle in Favorite View Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-4301

Schwachstelle in Fortify Plugin ermöglicht Cross-Site-Request-Forgery-Angriff

CVE-2023-4302

Schwachstelle in Fortify Plugin ermöglicht Ausspähen von Informationen

CVE-2023-4303

Schwachstelle in Fortify Plugin ermöglicht HTML-Injektion-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.