Vulnérabilités dans le logiciel d’intégration continue Jenkins

Date de publication :

Plusieurs vulnérabilités impactant le logiciel d’intégration continue Jenkins ont été corrigées. Leur exploitation peut permettre à un attaquant distant de perpétrer des attaques de type XSS. Selon le contexte, les attaques de type XSS peuvent permettre d’injecter du code arbitraire dans une page web vulnérable, qui sera exécuté dans le navigateur des victimes ou bien de leurrer les utilisateurs vers un site malveillant via des liens de redirections frauduleux.

CVE-2021-21603[Score CVSS v3 : 5.4] : Une vulnérabilité permettant une attaque de type XSS a été corrigée. Un attaquant distant et non-authentifié peut être en mesure de manipuler le contenu des popups de notification Jenkins.

CVE-2021-21608[Score CVSS v3 : 5.4] : Une vulnérabilité concernant les boutons de labels au sein de l'interface utilisateur de Jenkins a été corrigée. Un attaquant distant et non-authentifié peut être en mesure de manipuler le contenu des popups de notification Jenkins afin de perpétrer une attaque de type XSS.

CVE-2021-21610[Score CVSS v3 : 6.1] : Dans Jenkins, il est possible pour les administrateurs de choisir le format des balises de descriptions pour différents objets. Lorsque ces descriptions sont mises à jour, l’utilisateur peut prévisualiser les changements qu’il a effectués. Une vulnérabilité due à la non-vérification de l’URL utilisée pour la prévisualisation a été corrigée. Son exploitation pouvait permettre à un attaquant distant et authentifié de modifier l’URL de prévisualisation afin de perpétrer une attaque de type XSS.

CVE-2021-21611 [Score CVSS v3 : 5.4] : Une vulnérabilité permettant une attaque de type XSS a été corrigée. Un attaquant distant et authentifié peut être en mesure de manipuler les IDs et les noms des objets lorsque ceux-ci sont instanciés.

CVE-2021-21604[Score CVSS v3 : 8.0] : Une API REST pour XML est disponible dans Jenkins pour configurer différents objets. Lorsque la désérialisation échoue car les données sont invalidées, Jenkins stockent leur référence dans le “Old Data Monitor”. Lors du vidage de cet espace de stockage, il est possible que certaines des données subsistent et que les objets qu’elles définissent soient tout de même instanciés. Un attaquant distant et authentifié peut être en mesure d’injecter du contenu malveillant dans l’espace “Old Data Monitor” afin de perpétrer des actions non désirées lorsqu’un administrateur vide l’espace “Old Data Monitor”.

CVE-2021-21613[Score CVSS v3 : 6.1] : Une vulnérabilité dans le plugin TICS a été corrigée. Un attaquant distant et authentifié peut être en mesure de perpétrer une attaque de type XSS sous réserve qu’il puisse forger des requêtes de réponse de type TICS. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Injection de code arbitraire
  • Redirection involontaire vers du contenu web malveillant

Criticité

  • Score CVSS v3 : 5.4 ; 6.1 ; 8.0

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible à l’heure actuelle.

Composants vulnérables

  • Les versions de Jenkins antérieures à la version 2.275 sont impactées par ces vulnérabilités.
  • Les versions de Jenkins antérieures à la version LTS 2.263.2  sont impactées par ces vulnérabilités.
  • Les versions du plugin TICS antérieures à la version 2020.3.0.7  sont impactées par ces vulnérabilités.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Jenkins vers une des versions suivantes :

  • v2.275 ou supérieure

  • v2.263.2 ou supérieure

Mettre à jour le plugin TICS vers la version 2020.3.0.7 ou vers une version supérieure.

Solution de contournement

  • Aucune solution de contournement n’est proposée publiquement à l’heure actuelle.

Liens