Gestión inadecuada de cookie en Jenkins

Fecha de publicación: 17/01/2019

Importancia:
Alta

Recursos afectados:

  • Jenkins Weekly, versiones 2.159 y anteriores.
  • Jenkins LTS, versiones 2.150.1 y anteriores.

Descripción:

Dos vulnerabilidades en Jenkins, una de criticidad alta y otra media, debidas a una incorrecta gestión de la cookie “Remeber me”, permitirían a un atacante acceder al sistema de forma persistente o la imposibilidad de invalidar sesiones activas o reiniciar Jenkins.

Solución:

Desde Jenkins recomiendan actualizar a las siguientes versiones:

  • Jenkins Weekly versión 2.160
  • Jenkins LTS versión 2.150.2

Detalle:

  • La vulnerabilidad de criticidad alta permitiría a usuarios con permisos Overall/RunScripts generar una cookie “Remember me” que no expiraría nunca. Esto daría acceso a un atacante a una instancia de Jenkins, mientras exista el correspondiente usuario en el dominio de seguridad, además de que le permitiría acceder al sistema de manera persistente.

Encuesta valoración

Etiquetas:
Actualización, Vulnerabilidad

Powered by WPeMatico

Entradas relacionadas

About Gustavo Genez 2655 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.