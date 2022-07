Angreifer könnten Entwicklungsumgebungen mit Jenkins attackieren. Der Grund dafür sind Sicherheitslücken in mehreren Plug-ins. Sind Attacken erfolgreich, könnte im schlimmsten Fall Schadcode auf Systeme gelangen.

Elf der 33 geschlossenen Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft. So könnten Angreifer etwa an einer Lücke (CVE-2022-34784) in build-metrics Plug-in ansetzen und über eine XSS-Attacke (stored) dauerhaft Schadcode hinterlegen. Diese Auswirkung trifft auch auf den Großteil der verbleibenden Lücken zu. Außerdem könnten Angreifer auf Passwörter im Klartext zugreifen.

Diese Plug-ins sind betroffen:

Build Notifications Plugin bis einschließlich 1.5.034

build-metrics Plugin bis einschließlich 1.3

Cisco Spark Plugin bis einschließlich 1.1.1

Deployment Dashboard Plugin bis einschließlich 1.0.10

Elasticsearch Query Plugin bis einschließlich 1.2

eXtreme Feedback Panel Plugin bis einschließlich 2.0.1

Failed Job Deactivator Plugin bis einschließlich 1.2.1

GitLab Plugin bis einschließlich 1.5.34

HPE Network Virtualization Plugin bis einschließlich 1.0

Jigomerge Plugin bis einschließlich 0.9

Matrix Reloaded Plugin bis einschließlich 1.1.3

OpsGenie Plugin bis einschließlich 1.9

Plot Plugin bis einschließlich 2.1.10

Project Inheritance Plugin bis einschließlich 21.04.03

Recipe Plugin bis einschließlich 1.2

Request Rename Or Delete Plugin bis einschließlich 1.1.0

requests-plugin Plugin bis einschließlich 2.2.16

Rich Text Publisher Plugin bis einschließlich 1.4

RocketChat Notifier Plugin bis einschließlich 1.5.2

RQM Plugin bis einschließlich 2.8

Skype notifier Plugin bis einschließlich 1.1.0

TestNG Results Plugin bis einschließlich 554.va4a552116332

Validating Email Parameter Plugin bis einschließlich 1.10

XebiaLabs XL Release Plugin bis einschließlich 22.0.0

XPath Configuration Viewer Plugin bis einschließlich 1.1.1

Bislang sind einer Warnmeldung zufolge nur die abgesicherte Versionen GitLab 1.5.35, requests-plugin 2.2.17, TestNG Results 555.va0d5f66521e3 und Xebia Labs XL Release 22.0.1 erschienen. Wann die anderen abgesicherten Ausgaben folgen, ist bislang unklar.

(des)