O Jenkins é um servidor open-source de automação, e estima-se haverem milhares de instalações a nível mundial.

Os plugins deste servidor permitem implementar funcionalidades adicionais, como a autenticação por Active Directory, ou resolver problemas como a execução ou análise de código estática ou mesmo a cópia de um software compilado.

Grande parte dos problemas tem a ver com o armazenamento das passwords em plain text e questões de Cross-Site Request Forgery, devido à falta de mecanismos de verificação de permissões, algo que pode ser explorado facilmente por um atacante.

O problema reside no facto de muitos sistemas virem com o ficheiro "credentials.xml" com permissões de leitura por defeito. E em testes com credenciais, houve problemas a nível do mecanismo de autenticação, pois a ideia era associar as permissões aos grupos de utilizador e assegurar que apenas pedidos "POST" fossem aceites (daí a possibilidade de situações de CSRF, porque este tipo de pedidos ia gerar um token associado ao utilizador, resolvendo, pelo menos em parte, a questão dos utilizadores e a segurança das sessões.

Mais informações: https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2019/may/story-of-a-hundred-vulnerable-jenkins-plugins/

Site oficial: https://jenkins.io/