Разработчики системы Jenkins, которая используется для обеспечения непрерывной интеграции программного обеспечения, на этой неделе устранили уязвимости высокой и средней степени риска во множестве плагинов.
Наиболее опасными признаны три уязвимости класса CSRF (Cross-Site Request Forgery) и XSS (межсайтовый скриптинг). Они затрагивают плагины Folders, Flaky Test Handler и Shortcut Job.
Первый баг, который отслеживают под идентификатором CVE-2023-40336, существует из-за того, что в 6.846.v23698686f0f6 и более ранних версиях плагина Folders не требуются POST-запросы для конечной точки HTTP. Это приводит к CSRF.
«Эта брешь позволяет атакующим скопировать элемент, который в теории может автоматически одобрить скрипты вне песочницы. Такое поведение допускает выполнение небезопасных скриптов», — говорится в официальном уведомлении.
Следующая по значимости дыра — CVE-2023-40342. Она затрагивает плагин Flaky Test Handler 1.2.2 и более ранние версии. Её наличие позволяет злоумышленникам провести XSS-атаку.
Что касается плагина Shortcut Job (версий 0.4 и ранее), в нём тоже нашли межсайтовый скриптинг — CVE-2023-40346. Последняя опасная XSS-брешь затрагивает Docker Swarm (1.11 и более ранние), однако патч для этого бага почему-то пока не выпустили.
