Хакер #305. Многошаговые SQL-инъекции
Команда безопасности Jenkins объявила об обнаружении 34 уязвимостей, которые затрагивают 29 популярных плагинов. Хуже того, 29 из найденных проблем относятся к уязвимостям нулевого дня, то есть, это совсем свежие баги, патчей для которых все еще нет.
Разработчики рассказывают, что по шкале оценки уязвимостей CVSS, степень серьезности проблем варьируется от низкой до высокой, и в общей сложности уязвимые плагины установлены свыше 22 000 раз.
В список недостатков, которые теперь предстоит исправить, вошли XSS, «хранимые» XSS, CSRF, отсутствующие или некорректные проверки разрешений, а также пароли, секреты, ключи API и токены, хранящиеся плагинами в формате обычного текста. При этом подчеркивается, что для эксплуатации большинства 0-day высокой степени серьезности все же требуется взаимодействие с пользователем.
Хотя ни одна из уязвимостей не является критической (такие баги позволяют злоумышленникам удаленно выполнять код или команды на уязвимых серверах), найденные баги все же могут использоваться для атак на корпоративные сети.
Команда Jenkins уже представила патчи для четырех плагинов (GitLab, request-plugin, TestNG Results и XebiaLabs XL Release), но список уязвимых плагинов в целом пока велик:
- Build Notifications Plugin до версии (включительно) 1.5.0;
- build-metrics Plugin до версии (включительно) 1.3;
- Cisco Spark Plugin до версии (включительно) 1.1.1;
- Deployment Dashboard Plugin до версии (включительно) 1.0.10;
- Elasticsearch Query Plugin до версии (включительно) 1.2;
- eXtreme Feedback Panel Plugin до версии (включительно) 2.0.1;
- Failed Job Deactivator Plugin до версии (включительно) 1.2.1;
- GitLab Plugin до версии (включительно) 1.5.34;
- HPE Network Virtualization Plugin до версии (включительно) 1.0;
- Jigomerge Plugin до версии (включительно) 0.9;
- Matrix Reloaded Plugin до версии (включительно) 1.1.3;
- OpsGenie Plugin до версии (включительно) 1.9;
- Plot Plugin до версии (включительно) 2.1.10;
- Project Inheritance Plugin до версии (включительно) 21.04.03;
- Recipe Plugin до версии (включительно) 1.2;
- Request Rename Or Delete Plugin до версии (включительно) 1.1.0;
- requests-plugin Plugin до версии (включительно) 2.2.16;
- Rich Text Publisher Plugin до версии (включительно) 1.4;
- RocketChat Notifier Plugin до версии (включительно) 1.5.2;
- RQM Plugin до версии (включительно) 2.8;
- Skype notifier Plugin до версии (включительно) 1.1.0;
- TestNG Results Plugin до версии (включительно) 554.va4a552116332;
- Validating Email Parameter Plugin до версии (включительно) 1.10;
- XebiaLabs XL Release Plugin до версии (включительно) 22.0.0;
- XPath Configuration Viewer Plugin до версии (включительно) 1.1.1.