Múltiples vulnerabilidades en Jenkins

Descripción

Se han publicado varias vulnerabilidades en el core de Jenkins, 6 de severidad alta, 3 medias y una baja.

Los tipos de vulnerabilidades publicadas, de severidad alta, se corresponden con los siguientes:

  • 2 vulnerabilidades de Cross-Site Scripting (XSS). Se han asignado los identificadores CVE-2021-21603 y CVE-2021-21608 para estas vulnerabilidades.
  • 1 vulnerabilidad de Cross-Site Scripting (XSS) reflejado. Se ha asignado el identificador CVE-2021-21610 para esta vulnerabilidad.
  • 1 vulnerabilidad de Cross-Site Scripting (XSS) almacenado. Se ha asignado el identificador CVE-2021-21611 para esta vulnerabilidad.
  • 1 vulnerabilidad de deserialización de datos no confiables. Se ha asignado el identificador CVE-2021-21604 para esta vulnerabilidad.
  • 1 vulnerabilidad de validación incorrecta de los datos de entrada. Se ha asignado el identificador CVE-2021-21605 para esta vulnerabilidad.

Recursos afectados

  • Jenkins weekly, versiones 2.274 y anteriores.
  • Jenkins LTS, versiones 2.263.1 y anteriores.

Solución

  • Jenkins weekly, actualizar a la versión 2.275.
  • Jenkins LTS, actualizar a la versión 2.263.2.

Referencias

Jenkins Security Advisory 2021-01-13

Artículos relacionados

Etiqueta Seresco