04/07/22
Команда разработчиков популярного инструмента автоматизации Jenkins предупредила об уязвимостях в 25 плагинах.
Описанные уязвимости включают: межсайтовый скриптинг (cross-site scripting, XSS); хранящиеся в открытом виде пароли, ключи API, секреты и токены; подделку межсайтовых запросов (cross-site request forgery, CSRF); а также отсутствующие и некорректные проверки разрешений.
Затронуты следующие плагины: Build Notifications, build-metrics, Cisco Spark, Deployment Dashboard, Elasticsearch Query, eXtreme Feedback Panel, Failed Job Deactivator, GitLab, HPE Network Virtualization, Jigomerge, Matrix Reloaded, OpsGenie, Plot, Project Inheritance, Recipe, Request Rename Or Delete, requests-plugin, Rich Text Publisher, RocketChat Notifier, RQM, Skype notifier, TestNG Results, Validating Email Parameter, XebiaLabs XL Release и XPath Configuration Viewer.
По словам исследователя Шона Галлахера (Sean Gallagher) из ИБ-компании Sophos, уязвимости по отдельности не должны вызывать серьезного беспокойства, но в целом это очень большая поверхность для атак.
Примечательно, что для 21 из 25 перечисленных плагинов нет доступных исправлений.
Предупреждение команды Jenkins от 30 июня следует за аналогичным предупреждением от 22 июня, охватывающим28 плагинов и основное программное обеспечение Jenkins. Для 14 из этих плагинов до сих пор нет исправлений.
