O servidor de automação de desenvolvimento de software de código aberto Jenkins anunciou esta semana patches para vulnerabilidades de alta e média gravidade que afetam vários plug-ins.
Os patches abordam três problemas de falsificação de solicitação entre sites (CSRF) e scripts entre sites (XSS) de alta gravidade nos plug-ins Pastas, Manipulador de Teste Flaky e Trabalho de Atalho.
Rastreado como CVE-2023-40336, o primeiro bug existe porque nenhuma solicitação POST foi necessária para um ponto de extremidade HTTP na versão 6.846.v23698686f0f6 e anteriores do plug-in Pastas, levando ao CSRF.
“Essa vulnerabilidade permite que invasores copiem um item, o que pode aprovar automaticamente scripts sem sandbox e permitir a execução de scripts inseguros”, explica Jenkins em um consultor.
O segundo bug de alta gravidade, CVE-2023-40342, afeta as versões 1.2.2 e anteriores do plug-in Flaky Test Handler, que não escapam do conteúdo do teste JUnit quando são exibidos na IU do Jenkins, permitindo que os invasores executem ataques XSS.
As versões de plug-in de trabalho de atalho 0.4 e anteriores não escapam da URL de redirecionamento de atalho, levando a uma falha XSS rastreada como CVE-2023-40346.
Outra falha de XSS de alta gravidade foi identificada nas versões 1.11 e anteriores do plug-in Docker Swarm, que não escapam dos valores retornados do Docker antes de serem inseridos na visualização Docker Swarm Dashboard. No entanto, nenhum patch foi lançado para esse bug.
Jenkins também anunciou correções para vulnerabilidades de gravidade média nos plugins Folders, Config File Provider, NodeJS, Blue Ocean, Fortify e Delphix.
De acordo com o comunicado, essas falhas podem levar à divulgação de informações, vazamentos de credenciais, ataques CSRF, injeção de HTML e enumeração de ID de credencial.
As correções foram incluídas no Blue Ocean versão 1.27.5.1, Config File Provider versão 953.v0432a_802e4d2, Delphix versão 3.0.3, Flaky Test Handler versão 1.2.3, Folders versão 6.848.ve3b_fd7839a_81, Fortify versão 22.2.39, NodeJS versão 1.6.0.1 e versão de trabalho de atalho 0.5.
Além disso, Jenkins alertou que nenhum patch foi lançado para três falhas de gravidade média nos plug-ins Maven Artifact ChoiceListProvider (Nexus), Gogs e Favorite View que podem levar à exposição de credenciais, divulgação de informações e ataques CSRF.
O plug-in Tuleap Authentication foi atualizado para a versão 1.1.21 para resolver uma vulnerabilidade de baixa gravidade que permite aos invasores obter um token de autenticação válido.
