Omisión de sandbox en Pipeline y Script Security de Jenkins
Fecha de publicación: 09/01/2019
Importancia:
Alta
Recursos afectados:
- Pipeline: Declarative Plugin versión 1.3.4 y anteriores.
- Pipeline: Groovy Plugin versión 2.61 y anteriores.
- Script Security Plugin versión 1.49 y anteriores.
Descripción:
Orange Tsai, de devcore, ha reportado una vulnerabilidad del tipo omisión del sandbox que afecta a Pipeline y a Script Security de Jenkins, que podría permitir a un atacante la ejecución arbitraria de código.
Solución:
Actualizar a las siguientes versiones:
- Pipeline: Declarative Plugin versión 1.3.4.1
- Pipeline: Groovy Plugin versión 2.61.1
- Script Security Plugin versión 1.50
Detalle:
- Una vulnerabilidad del tipo omisión del sandbox en Pipeline y en Script Security, podría permitir a un atacante con permiso Overall/Read o que sea capaz de controlar el contenido de la biblioteca compartida de Jenkinsfile o Pieline en SCM, pasar por alto la protección de la sandbox y ejectuar código arbitrario en el maestro de Jenkins.
Etiquetas:
Actualización, Vulnerabilidad
Powered by WPeMatico
