
Gli sviluppatori di Jenkins avvertono che 29 plugin contengono 0day
Redazione RHC 2 Luglio 2022 20:35
Il team di sicurezza di Jenkins ha annunciato la scoperta di 34 vulnerabilità che interessano 29 plugin popolari. Peggio ancora, 29 dei problemi riscontrati sono vulnerabilità zero-day, ovvero si tratta di bug molto recenti, per i quali non ci sono ancora patch.
Gli sviluppatori affermano che, secondo la scala di valutazione della vulnerabilità CVSS, la gravità dei problemi varia da bassa a alta e, in totale, i plug-in vulnerabili vengono installati oltre 22.000 volte.
L’elenco delle carenze ora da correggere includeva XSS, XSS stored, CSRF, controlli delle autorizzazioni mancanti o errati e password predicibili, chiavi API e token archiviati nei plug-in in formato testo.
Per fortuna, la maggior parte degli 0day con gravità elevata richiede ancora l’interazione dell’utente per essere sfruttata.
Il team Jenkins ha già inviato patch per quattro plug-in (GitLab, request-plugin, TestNG Results e XebiaLabs XL Release), ma l’elenco dei plug-in vulnerabili è ancora lungo:
- Build Notifications Plugin up to and including 1.5.0
- build-metrics Plugin up to and including 1.3
- Cisco Spark Plugin up to and including 1.1.1
- Deployment Dashboard Plugin up to and including 1.0.10
- Elasticsearch Query Plugin up to and including 1.2
- eXtreme Feedback Panel Plugin up to and including 2.0.1
- Failed Job Deactivator Plugin up to and including 1.2.1
- GitLab Plugin up to and including 1.5.34
- HPE Network Virtualization Plugin up to and including 1.0
- Jigomerge Plugin up to and including 0.9
- Matrix Reloaded Plugin up to and including 1.1.3
- OpsGenie Plugin up to and including 1.9
- Plot Plugin up to and including 2.1.10
- Project Inheritance Plugin up to and including 21.04.03
- Recipe Plugin up to and including 1.2
- Request Rename Or Delete Plugin up to and including 1.1.0
- requests-plugin Plugin up to and including 2.2.16
- Rich Text Publisher Plugin up to and including 1.4
- RocketChat Notifier Plugin up to and including 1.5.2
- RQM Plugin up to and including 2.8
- Skype notifier Plugin up to and including 1.1.0
- TestNG Results Plugin up to and including 554.va4a552116332
- Validating Email Parameter Plugin up to and including 1.10
- XebiaLabs XL Release Plugin up to and including 22.0.0
- XPath Configuration Viewer Plugin up to and including 1.1.1
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull’informatica in generale.