2024-3045: Jenkins: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten
Historie:
- Version 1 (2024-11-14 15:19)
- Neues Advisory
Betroffene Software
Entwicklung
Netzwerk
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Administratorrechte zu erlangen, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen XML-External-Entity (XXE)-Angirff durchzuführen, einen Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Die folgenden Plugin-Versionen stehen als Sicherheitsupdates bereit: Authorize Project Plugin 1.8.0, IvyTrigger Plugin 1.02, OpenId Connect Authentication Plugin 4.421.v5422614eb_e0a_, Pipeline: Declarative Plugin 2.2218.v56d0cda_37c72, Pipeline: Groovy Plugin 3993.v3e20a_37282f8, Script Security Plugin 1368.vb_b_402e3547e7 und Shared Library Version Override Plugin 19.v3a_c975738d4a_.
Schwachstellen:
CVE-2022-46751
Schwachstelle in Ivy Plugin ermöglicht u. a. Ausspähen von InformationenCVE-2024-52549
Schwachstelle in Jenkins Script Security Plugin ermöglicht Ausspähen von InformationenCVE-2024-52550
Schwachstelle in Jenkins Groovy Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-52551
Schwachstelle in Jenkins Pipeline: Declarative Plugin ermöglicht Ausführen beliebigen ProgrammcodesCVE-2024-52552
Schwachstelle in Jenkins Authorize Project Plugin ermöglicht Cross-Site-Scripting-AngriffCVE-2024-52553
Schwachstelle in Jenkins OpenId Connect Authentication Plugin ermöglicht Erlangen von AdministratorrechtenCVE-2024-52554
Schwachstelle in Jenkins Shared Library Version Override Plugin ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.