Gestión inadecuada de cookie en Jenkins
Fecha de publicación: 17/01/2019
Importancia:
Alta
Recursos afectados:
- Jenkins Weekly, versiones 2.159 y anteriores.
- Jenkins LTS, versiones 2.150.1 y anteriores.
Descripción:
Dos vulnerabilidades en Jenkins, una de criticidad alta y otra media, debidas a una incorrecta gestión de la cookie “Remeber me”, permitirían a un atacante acceder al sistema de forma persistente o la imposibilidad de invalidar sesiones activas o reiniciar Jenkins.
Solución:
Desde Jenkins recomiendan actualizar a las siguientes versiones:
- Jenkins Weekly versión 2.160
- Jenkins LTS versión 2.150.2
Detalle:
- La vulnerabilidad de criticidad alta permitiría a usuarios con permisos Overall/RunScripts generar una cookie “Remember me” que no expiraría nunca. Esto daría acceso a un atacante a una instancia de Jenkins, mientras exista el correspondiente usuario en el dominio de seguridad, además de que le permitiría acceder al sistema de manera persistente.
Etiquetas:
Actualización, Vulnerabilidad
Powered by WPeMatico