Das Open-Source-Automationswerkzeug Jenkins kommt in vielen Software-Entwicklungsumgebungen zum Einsatz. Angreifer könnten an mehreren Schwachstellen ansetzen, um sich Zugriff auf Systeme zu verschaffen. Noch sind nicht alle Sicherheitsupdates erschienen.

Gefährliche Sicherheitslücken

In einer Warnmeldung listen die Entwickler die verwundbaren Plug-ins auf. Darunter sind unter anderem Ansible, Email Extension und SAML Single Sign On. Acht Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft.

Angreifer könnten für eine persistente XSS-Attacke an Job Plug-in (CVE-2023-32977 "hoch") oder TestNG Results (CVE-2023-32984 "hoch") ansetzen. Eine Schwachstelle in File Parameter Plug-in (CVE-2023-32986 "hoch") erlaubt es Angreifer Dateien zu manipulieren.

Fehler in der Authentifizierung via SAML Single Sign On können unter anderem dazu führen, dass sich Angreifer als Man-in-the-Middle in Verbindung einklinken und belauschen (CVE-2023-32993"mittel", CVE-2023-32994 "mittel").

Über eine Schwachstelle (CVE-2023-33001 "mittel") in HashiCorp Vault Plug-in können Zugangsdaten leaken. Unter bestimmten Voraussetzungen werden Anmeldedaten im Build-Protokoll nicht ausreichend maskiert. Dagegen ist bislang noch kein Sicherheitsupdate verfügbar.

Wie Angreifer die Sicherheitslücken ausnutzen könnten, führen die Entwickler derzeit nicht aus.

Warten auf Patches

Für den Großteil der Lücken sind bereits Sicherheitsupdates erschienen. Für die folgenden Plug-ins wurden bislang keine Patches angekündigt. Ob und wann welche erscheinen, ist bislang unbekannt.

HashiCorp Vault Plugin

LoadComplete support Plugin

Tag Profiler Plugin

TestComplete support Plugin

WSO2 Oauth Plugin

(des)