Evasión de sandbox en varios plugins de Jenkins

Fecha de publicación: 30/10/2018

Importancia:
Alta

Recursos afectados:

  • Pipeline: Groovy Plugin
  • Script Security Plugin

Descripción:

Se ha publicado un aviso de seguridad que podría permitir a un atacante la evasión de mecanismos de protección proporcionados por la libreria Groovy Sandbox.

Solución:

Actualizar los plugins a las siguientes versiones:

  • Pipeline: Groovy Plugin 2.60
  • Script Security Plugin 1.48

Detalle:

La biblioteca Groovy Sandbox usada por Script Security Plugin y Pipeline Groovy Plugin no aplica ciertas restricciones del sandbox para finalizar métodos. Esto podría utilizarse para invocar constructores y métodos arbitrarios, evitando así la protección del sandbox.

Encuesta valoración

Etiquetas:
Actualización, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.