Jenkinsプラグイン7件に脆弱性 - アップデートを呼びかけ
Jenkinsの開発チームは11月13日、セキュリティアドバイザリを公開し、複数のプラグインに関する脆弱性を明らかにした。アップデートが呼びかけられている。
7件のプラグインに脆弱性が明らかとなったもの。「OpenId Connect Authentication」では、セッション固定の脆弱性「CVE-2024-52553」が存在。管理者権限を不正に取得されるおそれがある。「Authorize Project」には格納型クロスサイトスクリプティング(XSS)の脆弱性「CVE-2024-52552」が判明した。
さらに「Pipeline:Groovy」や「Pipeline:Declarative」では、承認されていない以前のビルドを再実行できる「CVE-2024-52550」「CVE-2024-52551」が明らかとなっている。
「IvyTrigger」におけるXML外部実体参照(XXE)の脆弱性「CVE-2022-46751」や、「Shared Library Version Override」でセキュリティ機能をバイパスされる「CVE-2024-52554」についても言及した。
これら6件の脆弱性に関しては、重要度を上から2番目にあたる「高(High)」とレーティング。「Script Security」における権限チェック不足の脆弱性「CVE-2024-52549」については、重要度を1段階低い「中(Medium)」とした。
開発チームでは、これらの脆弱性を修正するプラグインのアップデートを提供。利用者に最新版へアップデートするよう呼びかけている。
(Security NEXT - 2024/11/15 )
ツイート
PR
関連記事
データ消去が不十分なSSDを廃棄処分、認識不足で - 南生協病院
Java向けHTTPクライアントライブラリのCookie管理に深刻な脆弱性
「Cisco NX-OS」に不正イメージを起動できる脆弱性
SailPointの「IdentityIQ」に深刻な脆弱性 - 修正パッチを公開
ウェブ運用管理ツール「CyberPanel」の脆弱性悪用に警戒を
プレゼント装うフィッシング詐欺 - 本人確認と称してクレカ情報詐取
欧州IoTセキュリティ法規への準拠を支援 - NRIセキュア
海外子会社でランサム被害、情報流出など影響を調査 - 富士電機
アイ・オー製ルータ「UD-LT1」などに脆弱性 - すでに悪用も
「Veeam Backup & Replication」に複数脆弱性 - アップデートで修正