Jesse Glick

Nome do Software Vulnerável e Versões Afetadas: Plug-in Jenkins OpenID Connect Provider versões 96.vee8ed882ec4d e anteriores Descrição: A vulnerabilidade envolve a geração de Build ID Tokens, que utiliza valores potencialmente sobrescritos de variáveis de ambiente. Isso pode ser explorado por atacantes capazes de configurar jobs, permitindo-lhes forjar um Build ID Token que se passa por um job confiável. Isso poderia potencialmente levar a acesso não autorizado a serviços externos. Recomendações: Para as versões 96.vee8ed882ec4d e anteriores do Plug-in Jenkins OpenID Connect Provider, considere desativar o recurso de geração de Build ID Token até que um patch esteja disponível para prevenir potenciais ataques de personificação. Restrinja o acesso à configuração de jobs para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Reverse Proxy Auth, versões 1.7.3 e anteriores **Descrição** A vulnerabilidade permite que invasores com acesso ao sistema de arquivos do controlador do Jenkins visualizem a senha do administrador LDAP, que está armazenada sem criptografia no arquivo global config.xml. **Recomendações** Para o Jenkins Reverse Proxy Auth Plugin versões 1.7.3 e anteriores, atualize para uma versão que corrija o armazenamento da senha do gerenciador LDAP para impedir o acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Jenkins Maven Metadata Plugin, versões 2.2 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de cross-site scripting (XSS) armazenada. Ela ocorre devido à falta de validação de URL para o parâmetro Repository Base URL dos parâmetros List maven artifact versions. Isso permite que um invasor com permissão Item/Configure explore a vulnerabilidade, levando potencialmente a um ataque de cross-site scripting. A vulnerabilidade pode ser explorada por um invasor remoto. **Recomendações** Para as versões 2.2 e anteriores do Jenkins Maven Metadata Plugin, atualize para uma versão que inclua validação de URL para o parâmetro Repository Base URL dos parâmetros List maven artifact versions, a fim de prevenir ataques de cross-site scripting (XSS) armazenado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins para GitHub, versões 1.34.4 e anteriores **Descrição** A vulnerabilidade está relacionada à divulgação de informações devido a uma inconsistência. Ela permite que um invasor remoto obtenha acesso não autorizado a informações protegidas. O problema reside no uso de uma função de comparação de tempo não constante ao verificar se as assinaturas de webhook fornecidas e calculadas são iguais. Isso permite que invasores utilizem métodos estatísticos para obter uma assinatura de webhook válida. **Recomendações** Para as versões 1.34.4 e anteriores do Jenkins GitHub Plugin, atualize para a versão 1.34.5 ou posterior, que utiliza uma comparação de tempo constante ao validar a assinatura do webhook.

**Nome do software vulnerável e versões afetadas** Jenkins Pipeline: Plugin Groovy versões 2689.v434009a 31b f1 e anteriores **Descrição** A vulnerabilidade permite carregar quaisquer arquivos-fonte Groovy no classpath do Jenkins e dos plug-ins do Jenkins em pipelines em sandbox. Isso poderia ser usado para contornar as proteções da sandbox caso um arquivo-fonte Groovy adequado esteja disponível. No entanto, a gravidade dessa vulnerabilidade é considerada Alta devido ao impacto potencial, mas a exploração bem-sucedida é considerada muito improvável. O número estimado de dispositivos potencialmente afetados não foi fornecido. **Recomendações** Para o Jenkins Pipeline: Groovy Plugin versões 2689.v434009a 31b f1 e anteriores, atualize para a versão 2692.v76b 089ccd026 ou posterior, que restringe quais arquivos fonte Groovy podem ser carregados nos pipelines. Como solução alternativa temporária, considere restringir o acesso aos arquivos fonte Groovy no classpath do Jenkins para minimizar o risco de exploração. Os plug-ins podem adicionar arquivos fonte Groovy específicos à lista de permissões usando o novo ponto de extensão `org.jenkinsci.plugins.workflow.cps.GroovySourceFileAllowlist`, se necessário.

**Nome do software vulnerável e versões afetadas** Jenkins Pipeline: Plugin Shared Groovy Libraries, versões 564.ve62a 4eb b e039 e anteriores, exceto a versão 2.21.3 **Descrição** A vulnerabilidade permite que invasores, que possam enviar pull requests, mas não fazer commits diretamente no SCM configurado, alterem o comportamento do Pipeline modificando a definição de uma biblioteca recuperada dinamicamente em seu pull request. Isso é possível mesmo que o Pipeline esteja configurado para não confiar neles. A vulnerabilidade explora a etapa `library` com um argumento `retriever` apontando para uma biblioteca no repositório e no branch da compilação atual. **Recomendações** Para o Jenkins Pipeline: Plugin de Bibliotecas Groovy Compartilhadas versões 564.ve62a 4eb b e039 e anteriores, exceto a versão 2.21.3, atualize para uma versão que inclua a correção, como o Pipeline: Plugin de Bibliotecas Groovy Obsoleto 566.vd0a a 3334a 555 ou versão 2.21.3, que interrompe a recuperação da biblioteca se ela for recuperada do mesmo repositório e revisão da compilação atual, e a revisão em compilação não for confiável. Para a versão 2.21.3, nenhuma ação adicional é necessária, pois ela já inclui a proteção necessária. Como solução alternativa temporária, considere restringir o uso da etapa `library` com um argumento `retriever` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 2.274 e anteriores do Jenkins Versões LTS 2.263.1 e anteriores do Jenkins **Descrição** O problema decorre da falta de escapamento do conteúdo da resposta da barra de notificações, levando a uma vulnerabilidade de script entre sites (XSS). Essa vulnerabilidade pode ser explorada por invasores capazes de influenciar o conteúdo da barra de notificação, normalmente exibida após o envio de formulários por meio do botão “Apply”. **Recomendações** Para as versões 2.274 e anteriores do Jenkins, atualize para a versão 2.275 ou posterior. Para as versões 2.263.1 e anteriores do Jenkins LTS, atualize para a versão 2.263.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões 2.274 e anteriores do Jenkins Versões LTS 2.263.1 e anteriores do Jenkins **Descrição** O problema decorre da falha na escapagem de rótulos de botões na interface do usuário do Jenkins, levando a uma vulnerabilidade de script entre sites (XSS). Essa vulnerabilidade pode ser explorada por invasores que tenham a capacidade de controlar os rótulos dos botões. Por exemplo, botões com rótulos controlados pelo usuário, como aqueles na etapa `input` do Pipeline, podem ser usados para explorar essa vulnerabilidade. **Recomendações** Para as versões 2.274 e anteriores do Jenkins, atualize para a versão 2.275 ou posterior para resolver o problema. Para as versões 2.263.1 e anteriores do Jenkins LTS, atualize para a versão 2.263.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões 2.274 e anteriores do Jenkins; versões LTS 2.263.1 e anteriores **Descrição** O problema resulta em uma vulnerabilidade de cross-site scripting (XSS) armazenada, que pode ser explorada por invasores capazes de especificar nomes de exibição ou IDs de tipos de itens exibidos na página Novo Item. Isso ocorre porque os nomes de exibição e os IDs dos tipos de itens não são escapados adequadamente. Até o momento da publicação deste aviso, a equipe de segurança do Jenkins não tem conhecimento de nenhum plugin publicado através do centro de atualizações do projeto Jenkins que permita fazer isso. **Recomendações** Para as versões 2.274 e anteriores do Jenkins, atualize para a versão 2.275 ou posterior. Para as versões LTS 2.263.1 e anteriores, atualize para a versão 2.263.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Plugin Jenkins Copy Artifact, versões 1.43.1 e anteriores **Descrição** O problema decorre de verificações de permissão inadequadas, permitindo que invasores copiem artefatos de tarefas às quais não têm permissão de acesso. Isso é particularmente preocupante para invasores com permissão de Job/Configure, pois eles podem configurar tarefas para copiar artefatos de tarefas restritas. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. **Recomendações** Para o Jenkins Copy Artifact Plugin versões 1.43.1 e anteriores, atualize para a versão 1.44 ou posterior. Após a atualização, mude do “Modo de migração” para o “Modo de produção” para ativar as proteções adicionais, observando que isso pode fazer com que tarefas existentes falhem ao copiar artefatos.

**Name of the Vulnerable Software and Affected Versions** Jenkins Google OAuth Credentials Plugin version 0.9 and earlier **Description** The issue allows attackers who can configure jobs and credentials in Jenkins to obtain the contents of any file on the Jenkins master due to an arbitrary file read vulnerability. **Recommendations** For Jenkins Google OAuth Credentials Plugin version 0.9 and earlier, update to a version later than 0.9 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Jenkins Puppet Enterprise Pipeline versions 1.3.1 and earlier **Description** The issue allows attackers to execute arbitrary code if they can execute Script Security protected scripts, due to unsafe values specified in the custom Script Security whitelist. **Recommendations** For Jenkins Puppet Enterprise Pipeline versions 1.3.1 and earlier, update to a version later than 1.3.1 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Jenkins Kubernetes :: Pipeline :: Kubernetes Steps Plugin (affected versions not specified) **Description** The issue concerns a custom whitelist for script security in the Jenkins Kubernetes :: Pipeline :: Kubernetes Steps Plugin, which allowed attackers to invoke arbitrary methods and bypass typical sandbox protection. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Jenkins Kubernetes :: Pipeline :: Arquillian Steps Plugin (affected versions not specified) **Description** The issue allows attackers to invoke arbitrary methods, bypassing typical sandbox protection, due to a custom whitelist for script security provided by the plugin. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Jenkins Simple Travis Pipeline Runner Plugin versions 1.0 and earlier **Description** The issue allows attackers to execute arbitrary code by bypassing the Script Security sandbox protection. This is due to the plugin specifying unsafe values in its custom Script Security whitelist. The custom list of pre-approved signatures for scripts protected by the Script Security sandbox enables the use of methods that can bypass protection, resulting in arbitrary code execution on any Jenkins instance with this plugin installed. **Recommendations** For Jenkins Simple Travis Pipeline Runner Plugin versions 1.0 and earlier, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Jenkins Amazon EC2 Plugin versions 1.43 and earlier **Description** The issue concerns the Jenkins Amazon EC2 Plugin, which wrote the beginning of private keys to the Jenkins system log. This could potentially expose sensitive information. The problem has been addressed, and the log message no longer includes the beginning of the private key. **Recommendations** For Jenkins Amazon EC2 Plugin versions 1.43 and earlier, update to a version where the log message no longer includes the beginning of the private key to prevent potential exposure of sensitive information.

**Name of the Vulnerable Software and Affected Versions** Jenkins Google Kubernetes Engine Plugin versions 0.6.2 and earlier **Description** The issue concerns the creation of a temporary file containing a temporary access token in the project workspace, which could be accessed by users with Job/Read permission. This temporary file was initially created in the project workspace but is now created outside the regular project workspace. **Recommendations** For Jenkins Google Kubernetes Engine Plugin versions 0.6.2 and earlier, consider updating to a version where the temporary file is created outside the regular project workspace to minimize access to the temporary access token. As a temporary workaround, consider restricting access to the project workspace for users with Job/Read permission until a more secure version is available.

**Name of the Vulnerable Software and Affected Versions** Jenkins Pipeline: Shared Groovy Libraries Plugin versions 2.14 and earlier **Description** A missing permission check in the plugin allowed users with Overall/Read access to obtain limited information about the content of SCM repositories referenced by global libraries. **Recommendations** For versions 2.14 and earlier, update to a version later than 2.14 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Jenkins Maven Integration Plugin versions 3.3 and earlier **Description** The issue potentially reveals sensitive build variables in the build log because build log decorators are not applied to module builds. **Recommendations** For Jenkins Maven Integration Plugin versions 3.3 and earlier, update to a version that applies build log decorators to module builds to prevent sensitive build variables from being revealed in the build log.

**Name of the Vulnerable Software and Affected Versions** Jenkins versions 2.185 and earlier, LTS 2.176.1 and earlier **Description** A vulnerability in the Stapler web framework allowed attackers to access view fragments directly, bypassing permission checks and possibly obtain sensitive information. **Recommendations** For Jenkins versions 2.185 and earlier, update to a version later than 2.185 to resolve the issue. For Jenkins LTS 2.176.1 and earlier, update to a version later than 2.176.1 to resolve the issue.