Se han revelado un par de vulnerabilidades de seguridad graves en el servidor de automatización de código abierto de Jenkins que podrían conducir a la ejecución de código en sistemas específicos.
Los defectos, rastreados como CVE-2023-27898 y CVE-2023-27905afectan el servidor Jenkins y el Centro de actualizaciones, y han sido bautizados colectivamente CorePlague por la empresa de seguridad en la nube Aqua. Todas las versiones de Jenkins anteriores a la 2.319.2 son vulnerables y explotables.
«La explotación de estas vulnerabilidades podría permitir que un atacante no autenticado ejecute código arbitrario en el servidor Jenkins de la víctima, lo que podría llevar a un compromiso total del servidor Jenkins», dijo la compañía en un comunicado. informe compartido con The Hacker News.
Las deficiencias son el resultado de cómo Jenkins procesa los complementos disponibles desde el Centro de actualizaciónlo que permite potencialmente que un actor de amenazas cargue un complemento con una carga maliciosa y desencadene un ataque de secuencias de comandos entre sitios (XSS).
«Una vez que la víctima abre el ‘Administrador de complementos disponible‘ en su servidor Jenkins, se activa el XSS, lo que permite a los atacantes ejecutar código arbitrario en el servidor Jenkins utilizando el API de consola de secuencias de comandos«, dijo Aqua.
Dado que también es un caso de XSS almacenado en el que el código JavaScript se inyecta en el servidor, la vulnerabilidad se puede activar sin tener que instalar el complemento o incluso visitar la URL del complemento en primer lugar.
De manera preocupante, las fallas también podrían afectar a los servidores Jenkins autohospedados y ser explotados incluso en escenarios en los que el servidor no es accesible públicamente a través de Internet, ya que los atacantes podrían «inyectar el Centro de actualización público de Jenkins».
Sin embargo, el ataque se basa en el requisito previo de que el complemento falso sea compatible con el servidor Jenkins y aparezca en la parte superior de la fuente principal en la página «Administrador de complementos disponibles».
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Esto, dijo Aqua, puede manipularse «cargando un complemento que contenga todos los nombres de complementos y palabras clave populares incrustadas en la descripción», o aumentar artificialmente el recuento de descargas del complemento mediante el envío de solicitudes de instancias falsas.
Tras la divulgación responsable el 24 de enero de 2023, Jenkins ha lanzado parches para Centro de actualización y servidor. Se recomienda a los usuarios que actualicen su servidor Jenkins a la última versión disponible para mitigar los riesgos potenciales.