Jenkins, el ampliamente utilizado servidor de automatización de código abierto, ha emitido un aviso de seguridad que detalla múltiples vulnerabilidades en su sistema principal y en diversos complementos asociados. Estas vulnerabilidades, que abarcan desde denegación de servicio hasta secuencias de comandos entre sitios (XSS), representan riesgos significativos para los usuarios si no se corrigen oportunamente.
- CVE-2024-54003 (CVSS 8.0): Se descubrió una vulnerabilidad de XSS almacenado en el complemento Simple Queue. Esta vulnerabilidad permite a los atacantes con permisos “View/Create” inyectar scripts maliciosos que podrían ejecutarse por otros usuarios, lo que puede derivar en robo de datos, secuestro de sesiones o compromisos adicionales del sistema.
- CVE-2024-47855 (CVSS 7.5): Se identificó una vulnerabilidad de denegación de servicio en la biblioteca de procesamiento JSON de Jenkins. Según el aviso, “en Jenkins (sin complementos), esto permite a los atacantes con permisos Overall/Read mantener ocupados los hilos de manejo de solicitudes HTTP de forma indefinida, utilizando recursos del sistema y evitando que los usuarios legítimos utilicen Jenkins”. Además, se mencionó que complementos como SonarQube Scanner y Bitbucket amplían esta superficie de ataque, incluso para atacantes que carecen de permisos Overall/Read.
- CVE-2024-54004 (CVSS 4.3): Recorrido de directorios en el complemento Filesystem List Parameter. El complemento Filesystem List Parameter contiene una vulnerabilidad que permite a los atacantes con permisos “Item/Configure” enumerar nombres de archivos en el sistema de archivos del controlador de Jenkins. Aunque esta vulnerabilidad tiene una severidad media, podría proporcionar información valiosa a los atacantes para futuros ataques.
| CVE | Productos afectados | Versiones afectadas | Solución |
| CVE-2024-54003 | Jenkins Simple Queue Plugin. | Versión 0 hasta la 1.4.4. | Versión 1.4.5 |
| CVE-2024-47855 | Jenkins weekly | Versiones inferiores a 2.487. | Versión 2.487. |
| Jenkins LTS | Versiones inferiores a 2.479.2. | Versión 2.479.2. | |
| CVE-2024-54004 | Jenkins Filesystem List Parameter Plugin. | Versión 0 hasta la 0.0.14. | Versión 0.0.15 |
Recomendaciones:
- Actualizar todos los sistemas y complementos de Jenkins a las versiones más recientes mencionadas en este boletín.
- Revisar y auditar los permisos asignados a usuarios y complementos para minimizar riesgos.
- Implementar controles adicionales de seguridad, como monitoreo de tráfico y análisis de vulnerabilidades en sistemas críticos.
Referencias: