تحديث Jenkins
3345تاريخ التحذير
مستوى الخطورة
رقم التحذير
القطاع المستهدف
30 يناير, 2020
● متوسط
2020-860
الكل
الوصف:
أصدرت Jenkins تحديثًا لمعالجة عددًا من الثغرات في المنتجات التالية:
- Jenkins weekly
- نسخة 2.218 وما قبل
- Jenkins LTS
- نسخة 2.204.1 وما قبل
- Code Coverage API Plugin
- نسخة 1.1.2 وما قبل
- Fortify Plugin
- نسخة 1.9.4.3 وما قبل
- WebSphere Deployer Plugin
- نسخة 1.6.1 وما قبل
التهديدات:
يمكن للمهاجم استغلال الثغرات وتنفيذ ما يلي:
- هجمة (XML external entity (XXE.
- يمكن للمستخدم الذي لا يملك صلاحية مستخدم إداري "Administrators" الاطّلاع على JVM memory usage data.
- هجمة البرمجة عبر المواقع (Cross-site scripting (XSS)).
- تحويل المستخدم إلى صفحة تحتوي على برمجيات ضارة.
الإجراءات الوقائية:
يوصي المركز بتحديث المنتجات المتأثرة، حيث أصدرت Jenkins توضيحًا لهذا التحديث: