Angreifer könnten Entwicklungsumgebungen mit Jenkins attackieren. Der Grund dafür sind Sicherheitslücken in mehreren Plug-ins. Sind Attacken erfolgreich, könnte im schlimmsten Fall Schadcode auf Systeme gelangen. Elf der 33 geschlossenen Schwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. So könnten Angreifer etwa an einer Lücke (CVE-2022-34784) in build-metrics Plug-in ansetzen und über eine XSS-Attacke (stored) dauerhaft Schadcode hinterlegen. Diese Auswirkung trifft auch auf den Großteil der verbleibenden Lücken zu. Außerdem könnten Angreifer auf Passwörter im Klartext zugreifen. Diese Plug-ins sind betroffen:
- Build Notifications Plugin bis einschließlich 1.5.034
- build-metrics Plugin bis einschließlich 1.3
- Cisco Spark Plugin bis einschließlich 1.1.1
- Deployment Dashboard Plugin bis einschließlich 1.0.10
- Elasticsearch Query Plugin bis einschließlich 1.2
- eXtreme Feedback Panel Plugin bis einschließlich 2.0.1
- Failed Job Deactivator Plugin bis einschließlich 1.2.1
- GitLab Plugin bis einschließlich 1.5.34
- HPE Network Virtualization Plugin bis einschließlich 1.0
- Jigomerge Plugin bis einschließlich 0.9
- Matrix Reloaded Plugin bis einschließlich 1.1.3
- OpsGenie Plugin bis einschließlich 1.9
- Plot Plugin bis einschließlich 2.1.10
- Project Inheritance Plugin bis einschließlich 21.04.03
- Recipe Plugin bis einschließlich 1.2
- Request Rename Or Delete Plugin bis einschließlich 1.1.0
- requests-plugin Plugin bis einschließlich 2.2.16
- Rich Text Publisher Plugin bis einschließlich 1.4
- RocketChat Notifier Plugin bis einschließlich 1.5.2
- RQM Plugin bis einschließlich 2.8
- Skype notifier Plugin bis einschließlich 1.1.0
- TestNG Results Plugin bis einschließlich 554.va4a552116332
- Validating Email Parameter Plugin bis einschließlich 1.10
- XebiaLabs XL Release Plugin bis einschließlich 22.0.0
- XPath Configuration Viewer Plugin bis einschließlich 1.1.1
Bislang sind einer Warnmeldung zufolge nur die abgesicherte Versionen GitLab 1.5.35, requests-plugin 2.2.17, TestNG Results 555.va0d5f66521e3 und Xebia Labs XL Release 22.0.1 erschienen. Wann die anderen abgesicherten Ausgaben folgen, ist bislang unklar.