9VSA24-00967-01 CSIRT alerta de nueva vulnerabilidad crítica en Jenkins
El CSIRT de Gobierno comparte información de una vulnerabilidad crítica que afecta a Jenkins y para la cual un parche ya fue publicado por el proveedor.
![9VSA24-00967-01.png](https://media.ciberseguridad.gob.cl/images/9VSA24-00967-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El CSIRT de Gobierno comparte información de una vulnerabilidad crítica que afecta a Jenkins y para la cual un parche ya fue publicado por el proveedor.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo crítico:
CVE-2024-23897: Vulnerabilidad en Jenkins y LTS que permite la ejecución remota de código por parte de atacantes no autenticados.
Mitigación
Jenkins weekly debe ser actualizado a la versión 2.442
Jenkins LTS debe ser actualizado a la versión 2.426.3
Git server Plugin debe ser actualizado a la versión 99.101.v720e86326c09
GitLab Branch Source Plugin debe ser actualizado a la versión 688.v5fa_356ee8520
Matrix Project Plugin debe ser actualizado a la versión 822.824.v14451b_c0fd42
Qualys Policy Compliance Scanning Connector Plugin debe ser actualizado a la versión 1.0.6
Red Hat Dependency Analytics Plugin debe ser actualizado a la versión 0.9.0
Centro de descargas de Jenkins: https://www.jenkins.io/download/
Productos afectados
Jenkins weekly 2.441 y anteriores.
LTS 2.426.2 y anteriores.
Git server Plugin hasta e incluyendo 99.va_0826a_b_cdfa_d
GitLab Branch Source Plugin hasta e incluyendo 684.vea_fa_7c1e2fe3
Log Command Plugin hasta e incluyendo 1.0.2
Matrix Project Plugin hasta e incluyendo 822.v01b_8c85d16d2
Qualys Policy Compliance Scanning Connector Plugin hasta e incluyendo 1.0.5
Red Hat Dependency Analytics Plugin hasta e incluyendo 0.7.1
Enlaces
https://www.jenkins.io/security/advisory/2024-01-24/
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA24-00967-01.