DFN-CERT

Advisory-Archiv

2024-0616: Jenkins-Plugins: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2024-03-07 12:52)
Neues Advisory

Betroffene Software

Entwicklung
Netzwerk
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, Cross-Site-Scripting (XSS)-Angriffe durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Für die Schwachstellen CVE-2024-2215, CVE-2024-2216 und CVE-2024-28156 bis CVE-2024-28160 existiert bisher kein Patch, weshalb die betroffenen Plugins geprüft und möglicherweise nicht weiter genutzt werden sollten.

Zum Schließen der anderen Schwachstellen wurden folgende Sicherheitsupdates veröffentlicht: AppSpider Version 1.0.17, Bitbucket Branch Source Version 871.v28d74e8b_4226, Delphix Version 3.1.1, HTML Publisher Version 1.32.1, MQ Notifier Version 1.4.1, OWASP Dependency-Check Version 5.4.6 sowie Trilead API Version 2.141.v284120fd0c46.

Schwachstellen:

CVE-2023-48795

Schwachstelle in SSH 'Binary Packet Protocol' (BPP) Implementierung ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-2215

Schwachstelle in Jenkins docker-build-step Plugin ermöglicht Manipulation von Dateien

CVE-2024-2216

Schwachstelle in Jenkins docker-build-step Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-28149

Schwachstelle in Jenkins HTML Publisher Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2024-28150

Schwachstelle in Jenkins HTML Publisher Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2024-28151

Schwachstelle in Jenkins HTML Publisher Plugin ermöglicht Ausspähen von Informationen

CVE-2024-28152

Schwachstelle in Jenkins Bitbucket Branch Source Plugin ermöglicht Manipulation von Dateien

CVE-2024-28153

Schwachstelle in Jenkins OWASP Dependency-Check Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2024-28154

Schwachstelle in Jenkins MQ Notifier Plugin ermöglicht Ausspähen von Informationen

CVE-2024-28155

Schwachstelle in Jenkins AppSpider Plugin ermöglicht Ausspähen von Informationen

CVE-2024-28156

Schwachstelle in Jenkins Build Monitor View Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2024-28157

Schwachstelle in Jenkins GitBucket Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2024-28158

Schwachstelle in Jenkins Subversion Partial Release Manager Plugin ermöglicht Darstellen falscher Informationen

CVE-2024-28159

Schwachstelle in Jenkins Subversion Partial Release Manager Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-28160

Schwachstelle in Jenkins iceScrum Plugin ermöglicht Cross-Site-Scripting-Angriff

CVE-2024-28161

Schwachstelle in Jenkins Delphix Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-28162

Schwachstelle in Jenkins Delphix Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.