DFN-CERT

Advisory-Archiv

2023-2626: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2023-10-26 12:34)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: CloudBees CD Plugin 1.1.33, GitHub Plugin 1.37.3.1, lambdatest-automation Plugin 1.20.10 und 1.21.0 sowie Warnings Plugin 10.5.1.

Für die folgenden Plugins stehen keine Sicherheitsupdates zur Verfügung: Edgewall Trac Plugin, Gogs Plugin, MSTeams Webhook Trigger Plugin, Multibranch Scan Webhook Trigger Plugin und Zanata Plugin.

Schwachstellen:

CVE-2023-46650

Schwachstelle in GitHub Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-46651

Schwachstelle in Warnings Plugin ermöglicht Ausspähen von Informationen

CVE-2023-46652

Schwachstelle in lambdatest-automation Plugin ermöglicht Ausspähen von Informationen

CVE-2023-46653

Schwachstelle in lambdatest-automation Plugin ermöglicht Ausspähen von Informationen

CVE-2023-46654

Schwachstelle in CloudBees CD Plugin ermöglicht Manipulation von Dateien

CVE-2023-46655

Schwachstelle in CloudBees CD Plugin ermöglicht Ausspähen von Informationen

CVE-2023-46656

Schwachstelle in Multibranch Scan Webhook Trigger Plugin ermöglicht Ausspähen von Informationen

CVE-2023-46657

Schwachstelle in Gogs Plugin ermöglicht Ausspähen von Informationen

CVE-2023-46658

Schwachstelle in MSTeams Webhook Trigger Plugin ermöglicht Ausspähen von Informationen

CVE-2023-46659

Schwachstelle in Edgewall Trac Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2023-46660

Schwachstelle in Zanata Plugin ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.