Se han revelado un par de vulnerabilidades de seguridad graves en el servidor de automatizaci\u00f3n de c\u00f3digo abierto de Jenkins que podr\u00edan conducir a la ejecuci\u00f3n de c\u00f3digo en sistemas espec\u00edficos.<\/p>\n
Los defectos, rastreados como CVE-2023-27898<\/a> y CVE-2023-27905<\/a>afectan el servidor Jenkins y el Centro de actualizaciones, y han sido bautizados colectivamente CorePlague<\/strong> por la empresa de seguridad en la nube Aqua. Todas las versiones de Jenkins anteriores a la 2.319.2 son vulnerables y explotables.<\/p>\n “La explotaci\u00f3n de estas vulnerabilidades podr\u00eda permitir que un atacante no autenticado ejecute c\u00f3digo arbitrario en el servidor Jenkins de la v\u00edctima, lo que podr\u00eda llevar a un compromiso total del servidor Jenkins”, dijo la compa\u00f1\u00eda en un comunicado. informe<\/a> compartido con The Hacker News.<\/p>\n Las deficiencias son el resultado de c\u00f3mo Jenkins procesa los complementos disponibles desde el Centro de actualizaci\u00f3n<\/a>lo que permite potencialmente que un actor de amenazas cargue un complemento con una carga maliciosa y desencadene un ataque de secuencias de comandos entre sitios (XSS).<\/p>\n “Una vez que la v\u00edctima abre el ‘Administrador de complementos disponible<\/a>‘ en su servidor Jenkins, se activa el XSS, lo que permite a los atacantes ejecutar c\u00f3digo arbitrario en el servidor Jenkins utilizando el API de consola de secuencias de comandos<\/a>“, dijo Aqua.<\/p>\n Dado que tambi\u00e9n es un caso de XSS almacenado en el que el c\u00f3digo JavaScript se inyecta en el servidor, la vulnerabilidad se puede activar sin tener que instalar el complemento o incluso visitar la URL del complemento en primer lugar.<\/p>\n De manera preocupante, las fallas tambi\u00e9n podr\u00edan afectar a los servidores Jenkins autohospedados y ser explotados incluso en escenarios en los que el servidor no es accesible p\u00fablicamente a trav\u00e9s de Internet, ya que los atacantes podr\u00edan “inyectar el Centro de actualizaci\u00f3n p\u00fablico de Jenkins”.<\/p>\n Sin embargo, el ataque se basa en el requisito previo de que el complemento falso sea compatible con el servidor Jenkins y aparezca en la parte superior de la fuente principal en la p\u00e1gina “Administrador de complementos disponibles”.<\/p>\n Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n \u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n RESERVA TU ASIENTO<\/a><\/div>\n Esto, dijo Aqua, puede manipularse “cargando un complemento que contenga todos los nombres de complementos y palabras clave populares incrustadas en la descripci\u00f3n”, o aumentar artificialmente el recuento de descargas del complemento mediante el env\u00edo de solicitudes de instancias falsas.<\/p>\n Tras la divulgaci\u00f3n responsable el 24 de enero de 2023, Jenkins ha lanzado parches para Centro de actualizaci\u00f3n<\/a> y servidor<\/a>. Se recomienda a los usuarios que actualicen su servidor Jenkins a la \u00faltima versi\u00f3n disponible para mitigar los riesgos potenciales.<\/p>\n <\/p>\n