El dijous, l’equip de seguretat de Jenkins va anunciar 34 vulnerabilitats de seguretat que afecten 29 complements per al servidor d’automatització de codi obert de Jenkins, 29 dels errors són de dia zero i encara esperen ser reparats.

Jenkins és una plataforma molt popular (amb suport per a més de 1700 complements) utilitzada per empreses de tot el món per a crear, provar i implementar programari.
Els punteges base de CVSS dels dies zero varien de gravetat baixa a alta i, segons les estadístiques de Jenkins, els complements afectats tenen un total de més de 22.000 instal·lacions.

La llista completa de falles que encara no es van corregir inclou errors XSS, XSS emmagatzemats, falsificació de sol·licituds entre llocs (CSRF), verificacions de permisos que manca o incorrectes, així com contrasenyes, secrets, claus API i tokens emmagatzemats en text sense format.

Afortunadament, la majoria dels perillosos, els de dia zero d’alta gravetat, requereixen la interacció de l’usuari per a ser explotats en atacs de baixa complexitat per part d’atacants remots amb pocs privilegis.

Obtingui les imatges en els següents enllaços:

https://ricardogeek.com/analisis-de-la-calidad-del-codigo-con-jenkins/

https://es.m.wikipedia.org/wiki/Archivo:Jenkins_logo_with_title.svg