Açık kaynak otomasyon aracı Jenkins, birçok yazılım geliştirme ortamında kullanılmaktadır. Saldırganlar, sistemlere erişim elde etmek için çeşitli güvenlik açıklarını kullanabilir. Henüz tüm güvenlik güncellemeleri yayınlanmadı.
Tehlikeli güvenlik açıkları
Geliştiriciler, güvenlik açığı bulunan eklentileri bir uyarı mesajında listeler. Bunlar arasında Ansible, E-posta Uzantısı ve SAML Tek Oturum Açma yer alır. Sekiz boşluk tehdit seviyesindedir “yüksek” sınıflandırılmış.
Saldırganlar, Job Plug-in’e (CVE-2023-32977 “) kalıcı bir XSS saldırısından sorumlu olabilir.yüksek“) veya TestNG Sonuçları (CVE-2023-32984 “)yüksek“). Dosya Parametresi Eklentisindeki bir güvenlik açığı (CVE-2023-32986 “)yüksek“), saldırganların dosyaları manipüle etmesine izin verir.
SAML Tek Oturum Açma aracılığıyla kimlik doğrulama hataları, diğer şeylerin yanı sıra, saldırganların ortadaki adam gibi davranmasına ve kulak misafiri olmasına yol açabilir (CVE-2023-32993″)orta“, CVE-2023-32994”orta“).
Bir güvenlik açığı hakkında (CVE-2023-33001 “orta“) HashiCorp Vault Plugin’deki kimlik bilgilerini sızdırabilir. Belirli koşullar altında, kimlik bilgileri derleme günlüğünde yeterince maskelenmez. Ancak, henüz bir güvenlik güncellemesi mevcut değil.
Geliştiriciler şu anda saldırganların güvenlik açıklarından nasıl yararlanabileceğini açıklamıyor.
Yamalar bekleniyor
Açıkların çoğu için güvenlik güncellemeleri zaten yayınlandı. Aşağıdaki eklentiler için yamalar henüz duyurulmadı. Herhangi birinin görünüp görünmeyeceği ve ne zaman görüneceği henüz bilinmiyor.
(ile ilgili)
Haberin Sonu
Tehlikeli güvenlik açıkları
Geliştiriciler, güvenlik açığı bulunan eklentileri bir uyarı mesajında listeler. Bunlar arasında Ansible, E-posta Uzantısı ve SAML Tek Oturum Açma yer alır. Sekiz boşluk tehdit seviyesindedir “yüksek” sınıflandırılmış.
Saldırganlar, Job Plug-in’e (CVE-2023-32977 “) kalıcı bir XSS saldırısından sorumlu olabilir.yüksek“) veya TestNG Sonuçları (CVE-2023-32984 “)yüksek“). Dosya Parametresi Eklentisindeki bir güvenlik açığı (CVE-2023-32986 “)yüksek“), saldırganların dosyaları manipüle etmesine izin verir.
SAML Tek Oturum Açma aracılığıyla kimlik doğrulama hataları, diğer şeylerin yanı sıra, saldırganların ortadaki adam gibi davranmasına ve kulak misafiri olmasına yol açabilir (CVE-2023-32993″)orta“, CVE-2023-32994”orta“).
Bir güvenlik açığı hakkında (CVE-2023-33001 “orta“) HashiCorp Vault Plugin’deki kimlik bilgilerini sızdırabilir. Belirli koşullar altında, kimlik bilgileri derleme günlüğünde yeterince maskelenmez. Ancak, henüz bir güvenlik güncellemesi mevcut değil.
Geliştiriciler şu anda saldırganların güvenlik açıklarından nasıl yararlanabileceğini açıklamıyor.
Yamalar bekleniyor
Açıkların çoğu için güvenlik güncellemeleri zaten yayınlandı. Aşağıdaki eklentiler için yamalar henüz duyurulmadı. Herhangi birinin görünüp görünmeyeceği ve ne zaman görüneceği henüz bilinmiyor.
- HashiCorp Kasa Eklentisi
- LoadComplete destek eklentisi
- Etiket Profil Oluşturucu Eklentisi
- TestComplete destek eklentisi
- WSO2 Kimlik Doğrulama Eklentisi
(ile ilgili)
Haberin Sonu