Sicherheitsupdates: Jenkins-Plug-ins als Einfallstor für Angreifer
Jenkins kann bei der Softwareentwicklung helfen. Einige Plug-ins weisen Sicherheitslücken auf. Ein paar Updates stehen noch aus.
(Bild: Artur Szczybylo/Shutterstock.com)
Schwachstellen in neun Plug-ins des Open-Source-Automationswerkzeugs Jenkins gefährden Software-Entwicklungsumgebungen. Einige Sicherheitspatches sind bereits erschienen.
Gefährliche Schwachstellen
Von den elf Lücken sind zwei Stück mit dem Bedrohungsgrad "hoch" eingestuft. Das betrifft zum einen das Github-Plug-in (CVE-2023-46650). Hier können Angreifer für eine Stored-XSS-Attacke ansetzen. So ist es möglich, dass sie Schadcode auf Servern ablegen, der bei jedem Besuch eines Opfers im Webbrowser ausgeführt wird.
Die andere Lücke findet sich im CloudBess-CD-Plug-in (CVE-2023-46654). An dieser Stelle sind im Zuge eines Post-Build-Schrittes unbefugte Dateizugriffe inklusive des Löschens von Daten vorstellbar.
Der Großteil der verbleibenden Schwachstellen ist mit "niedrig" eingestuft. Hier können Angreifer unter anderem auf Zugangsdaten oder Tokens zugreifen.
Jetzt patchen!
Die verfügbaren Sicherheitsupdates listen die Entwickler am Ende eines Beitrages auf. Für unter anderem MSTeams Webhook Trigger und Zanata sind bislang noch keine Patches erschienen.
(des)
