Jenkins ha publicado un boletín de seguridad para corregir una vulnerabilidad media y otra menor sobre su core.
Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.
Las versiones afectadas por estas vulnerabilidades son las anteriores a 2.116 para la rama Jenkins weekly y 2.107.2 para la versión LTS.
La primera vulnerabilidad identificada con el identificador SECURITY-754, afecta a la consola de comandos (CLI) y podría permitir a un atacante remoto acceder a vistas y agentes del sistema. El fallo ha sido descubierto a través de los errores que el sistema devuelve en función de los argumentos que un atacante va enviando al sistema.
La segunda vulnerabilidad identificada con el identificador SECURITY-759, está localizada en los cuadros de diálogo de confirmación de JavaScript. El fallo expone el nombre de algunos elementos de forma insegura, lo que podría ser aprovechado por un atacante para llevar a cabo ataques de tipo ‘cross site scripting’.
Jenkins dispone de una lista de correo en la cual los usuarios de este software pueden suscribirse para recibir notificaciones de seguridad. También pone a disposición de cualquier usuario que descubra alguna vulnerabilidad el siguiente enlace para reporte.
