Gli aggressori possono attaccare gli ambienti di sviluppo con Jenkins

Lo strumento di automazione Jenkins open source viene utilizzato in molti ambienti di sviluppo software. Gli aggressori possono utilizzare molte vulnerabilità per ottenere l’accesso ai sistemi. Non tutti gli aggiornamenti di sicurezza sono stati ancora rilasciati.

Gravi vulnerabilità

Gli sviluppatori elencano i plugin vulnerabili in un messaggio di avviso. Queste funzionalità includono Ansible, Email Extension e SAML Single Sign-On. Otto vulnerabilità con livello di minacciaaltoclasse.

Gli aggressori potrebbero essere responsabili dell’attacco XSS in corso al Job Plug-in (CVE-2023-32977″alto”) o Risultati TestNG (CVE-2023-32984”)altoVulnerabilità del plug-in dei parametri dei file (CVE-2023-32986).alto”) consente agli aggressori di manipolare i file.

Gli errori nell’autenticazione single sign-on tramite SAML possono, tra le altre cose, portare gli aggressori ad agire come man-in-the-middle e ad intercettare (CVE-2023-32993″mezzoCVE-2023-32994mezzo“).

Informazioni sulla vulnerabilità (CVE-2023-33001)mezzo“) In HashiCorp Vault Plugin le credenziali possono essere trapelate. In determinate circostanze, le credenziali non sono sufficientemente nascoste nella cronologia di compilazione. Tuttavia, non è ancora disponibile alcun aggiornamento di sicurezza.

Gli sviluppatori al momento non spiegano come gli aggressori potrebbero sfruttare le vulnerabilità.

in attesa di punti

Gli aggiornamenti di sicurezza sono già stati rilasciati per la maggior parte delle vulnerabilità. Le patch non sono ancora state annunciate per i seguenti plugin. Non è ancora noto se e quando qualcuno di loro apparirà.

• Plug-in Vault HashiCorp
• Carica il supporto completo del plug-in
• Plug-in Tag Profiler
• TestCompleta il supporto del plugin
• WSO2 aggiuntivo OAuth

(A)