Se ha publicado un aviso de seguridad
que podría permitir a un atacante la evasión de mecanismos de protección
proporcionados por la libreria Groovy Sandbox, catalogada de Importancia: 4 - Alta
Recursos afectados:
- Pipeline: Groovy Plugin
- Script Security Plugin
- Recomendación
- Pipeline: Groovy Plugin 2.60
- Script Security Plugin 1.48
Detalle de vulnerabilidades
La biblioteca Groovy Sandbox usada por
Script Security Plugin y Pipeline Groovy Plugin no aplica ciertas restricciones
del sandbox para finalizar métodos. Esto podría utilizarse para invocar
constructores y métodos arbitrarios, evitando así la protección del sandbox.
Más información
- Jenkins Security
Advisory 2018-10-29 https://jenkins.io/security/advisory/2018-10-29/
Fuente: INCIBE