Gestión inadecuada de cookie en Jenkins

Fecha de publicación: 17/01/2019

Importancia: Alta

Recursos afectados:

  • Jenkins Weekly, versiones 2.159 y anteriores.
  • Jenkins LTS, versiones 2.150.1 y anteriores.

Descripción:

Dos vulnerabilidades en Jenkins, una de criticidad alta y otra media, debidas a una incorrecta gestión de la cookie "Remeber me", permitirían a un atacante acceder al sistema de forma persistente o la imposibilidad de invalidar sesiones activas o reiniciar Jenkins.

Solución:

Desde Jenkins recomiendan actualizar a las siguientes versiones:

  • Jenkins Weekly versión 2.160
  • Jenkins LTS versión 2.150.2

Detalle:

  • La vulnerabilidad de criticidad alta permitiría a usuarios con permisos Overall/RunScripts generar una cookie "Remember me" que no expiraría nunca. Esto daría acceso a un atacante a una instancia de Jenkins, mientras exista el correspondiente usuario en el dominio de seguridad, además de que le permitiría acceder al sistema de manera persistente.

Etiquetas: Actualización, Vulnerabilidad