Команда Jenkins предупредила об уязвимостях в 25 плагинах

Пт 1 Июль 2022 06:45

Команда разработчиков популярного инструмента автоматизации Jenkins предупредила об уязвимостях в 25 плагинах.

Описанные уязвимости включают: межсайтовый скриптинг (cross-site scripting, XSS); хранящиеся в открытом виде пароли, ключи API, секреты и токены; подделку межсайтовых запросов (cross-site request forgery, CSRF); а также отсутствующие и некорректные проверки разрешений.

Затронуты следующие плагины: Build Notifications, build-metrics, Cisco Spark, Deployment Dashboard, Elasticsearch Query, eXtreme Feedback Panel, Failed Job Deactivator, GitLab, HPE Network Virtualization, Jigomerge, Matrix Reloaded, OpsGenie, Plot, Project Inheritance, Recipe, Request Rename Or Delete, requests-plugin, Rich Text Publisher, RocketChat Notifier, RQM, Skype notifier, TestNG Results, Validating Email Parameter, XebiaLabs XL Release и XPath Configuration Viewer.

По словам исследователя Шона Галлахера (Sean Gallagher) из ИБ-компании Sophos, уязвимости по отдельности не должны вызывать серьезного беспокойства, но в целом это очень большая поверхность для атак.

Примечательно, что для 21 из 25 перечисленных плагинов нет доступных исправлений.

Предупреждение команды Jenkins от 30 июня следует за аналогичным предупреждением от 22 июня, охватывающим28 плагинов и основное программное обеспечение Jenkins. Для 14 из этих плагинов до сих пор нет исправлений.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 259 дней 23 часа 40 минут 4 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.