Vulnérabilités dans le logiciel d’intégration continue Jenkins
Date de publication :
Plusieurs vulnérabilités impactant le logiciel d’intégration continue Jenkins ont été corrigées. Leur exploitation peut permettre à un attaquant distant de perpétrer des attaques de type XSS. Selon le contexte, les attaques de type XSS peuvent permettre d’injecter du code arbitraire dans une page web vulnérable, qui sera exécuté dans le navigateur des victimes ou bien de leurrer les utilisateurs vers un site malveillant via des liens de redirections frauduleux.
CVE-2021-21603[Score CVSS v3 : 5.4] : Une vulnérabilité permettant une attaque de type XSS a été corrigée. Un attaquant distant et non-authentifié peut être en mesure de manipuler le contenu des popups de notification Jenkins.
CVE-2021-21608[Score CVSS v3 : 5.4] : Une vulnérabilité concernant les boutons de labels au sein de l'interface utilisateur de Jenkins a été corrigée. Un attaquant distant et non-authentifié peut être en mesure de manipuler le contenu des popups de notification Jenkins afin de perpétrer une attaque de type XSS.
CVE-2021-21610[Score CVSS v3 : 6.1] : Dans Jenkins, il est possible pour les administrateurs de choisir le format des balises de descriptions pour différents objets. Lorsque ces descriptions sont mises à jour, l’utilisateur peut prévisualiser les changements qu’il a effectués. Une vulnérabilité due à la non-vérification de l’URL utilisée pour la prévisualisation a été corrigée. Son exploitation pouvait permettre à un attaquant distant et authentifié de modifier l’URL de prévisualisation afin de perpétrer une attaque de type XSS.
CVE-2021-21611 [Score CVSS v3 : 5.4] : Une vulnérabilité permettant une attaque de type XSS a été corrigée. Un attaquant distant et authentifié peut être en mesure de manipuler les IDs et les noms des objets lorsque ceux-ci sont instanciés.
CVE-2021-21604[Score CVSS v3 : 8.0] : Une API REST pour XML est disponible dans Jenkins pour configurer différents objets. Lorsque la désérialisation échoue car les données sont invalidées, Jenkins stockent leur référence dans le “Old Data Monitor”. Lors du vidage de cet espace de stockage, il est possible que certaines des données subsistent et que les objets qu’elles définissent soient tout de même instanciés. Un attaquant distant et authentifié peut être en mesure d’injecter du contenu malveillant dans l’espace “Old Data Monitor” afin de perpétrer des actions non désirées lorsqu’un administrateur vide l’espace “Old Data Monitor”.
CVE-2021-21613[Score CVSS v3 : 6.1] : Une vulnérabilité dans le plugin TICS a été corrigée. Un attaquant distant et authentifié peut être en mesure de perpétrer une attaque de type XSS sous réserve qu’il puisse forger des requêtes de réponse de type TICS.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Injection de code arbitraire
Redirection involontaire vers du contenu web malveillant
Criticité
Score CVSS v3 : 5.4 ; 6.1 ; 8.0
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible à l’heure actuelle.
Composants vulnérables
Les versions de Jenkins antérieures à la version 2.275 sont impactées par ces vulnérabilités.
Les versions de Jenkins antérieures à la version LTS 2.263.2 sont impactées par ces vulnérabilités.
Les versions du plugin TICS antérieures à la version 2020.3.0.7 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Jenkins vers une des versions suivantes :
v2.275 ou supérieure
v2.263.2 ou supérieure
Mettre à jour le plugin TICS vers la version 2020.3.0.7 ou vers une version supérieure.
Solution de contournement
Aucune solution de contournement n’est proposée publiquement à l’heure actuelle.