Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Команда Jenkins предупредила об уязвимостях в 25 плагинах

04/07/22

 

8c4a5c31947d94bcd5d14f98c9f1b016

Команда разработчиков популярного инструмента автоматизации Jenkins предупредила об уязвимостях в 25 плагинах.

Описанные уязвимости включают: межсайтовый скриптинг (cross-site scripting, XSS); хранящиеся в открытом виде пароли, ключи API, секреты и токены; подделку межсайтовых запросов (cross-site request forgery, CSRF); а также отсутствующие и некорректные проверки разрешений.

Затронуты следующие плагины: Build Notifications, build-metrics, Cisco Spark, Deployment Dashboard, Elasticsearch Query, eXtreme Feedback Panel, Failed Job Deactivator, GitLab, HPE Network Virtualization, Jigomerge, Matrix Reloaded, OpsGenie, Plot, Project Inheritance, Recipe, Request Rename Or Delete, requests-plugin, Rich Text Publisher, RocketChat Notifier, RQM, Skype notifier, TestNG Results, Validating Email Parameter, XebiaLabs XL Release и XPath Configuration Viewer.

По словам исследователя Шона Галлахера (Sean Gallagher) из ИБ-компании Sophos, уязвимости по отдельности не должны вызывать серьезного беспокойства, но в целом это очень большая поверхность для атак.

Примечательно, что для 21 из 25 перечисленных плагинов нет доступных исправлений.

Предупреждение команды Jenkins от 30 июня следует за аналогичным предупреждением от 22 июня, охватывающим28 плагинов и основное программное обеспечение Jenkins. Для 14 из этих плагинов до сих пор нет исправлений.

Темы:УгрозыJenkinsплагины

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...