Jenkins 外掛程式多個弱點 (Jenkins 安全公告 2021-03-30)

high Nessus Plugin ID 155735

概要

遠端 Web 伺服器主機上執行的應用程式受到多個弱點的影響。

說明

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins 外掛程式版本為 1.5.1 版之前的 Jenkins Build with Parameters Plugin、0.27 版之前的 Cloud Statistics Plugin、1.23 版之前的 Extra Columns Plugin、1.42 版之前的 Jabber (XMPP) notifier and control Plugin、3.1.1 版之前的 OWASP Dependency-Track Plugin、1.3.1 版之前的 REST List Parameter Plugin,或 Team Foundation Server Plugin 5.157.1 或更早版本。因此,會受到多個弱點影響:

- Jenkins Build with Parameters Plugin 1.5 及更早版本不會逸出參數名稱和描述,導致具有 Job/Configure 權限的攻擊者可惡意利用已儲存的跨網站指令碼 (XSS) 弱點。(CVE-2021-21628)

- Jenkins Build with Parameters Plugin 1.5 及更早版本中存在一個跨網站要求偽造 (CSRF) 弱點,允許攻擊者使用攻擊者指定的參數來建置專案。(CVE-2021-21629)

- Jenkins Build with Parameters Plugin 1.22 及更早版本不會逸出參數名稱和描述,導致具有「工作/設定」權限的攻擊者可惡意利用已儲存的跨網站指令碼 (XSS) 弱點。(CVE-2021-21630)

- Jenkins Cloud Statistics Plugin 0.26 及更早版本未在 HTTP 端點中執行權限檢查,進而允許具有「整體/讀取」權限且知道隨機活動 ID 的攻擊者檢視相關的佈建例外狀況錯誤訊息。(CVE-2021-21631)

- Jenkins OWASP Dependency-Track Plugin 3.1.0 及更早版本中缺少權限檢查,允許具有整體/讀取權限的攻擊者連線至攻擊者指定的 URL,進而擷取儲存在 Jenkins 中的憑證。(CVE-2021-21632)

- Jenkins OWASP Dependency-Track Plugin 3.1.0 及更早版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可以藉此連線至攻擊者指定的 URL,進而擷取儲存在 Jenkins 中的憑證。
(CVE-2021-21633)

- Jenkins Jabber (XMPP) notifier and control Plugin 1.41 及更早版本將未加密的密碼儲存在 Jenkins 控制器上的全域組態檔案中,而這些密碼可由具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2021-21634)

- Jenkins REST List Parameter Plugin 1.3.0 及更早版本不會逸出嵌入式 JavaScript 中的參數名稱引用,導致具有 Job/Configure 權限的攻擊者可惡意利用已儲存的跨網站指令碼 (XSS) 弱點。(CVE-2021-21635)

- Jenkins Team Foundation Server Plugin 5.157.1 及更早版本中缺少權限檢查,允許具有「整體/讀取」權限的攻擊者列舉 Jenkins 中儲存憑證的憑證 ID。
(CVE-2021-21636)

- Jenkins Team Foundation Server Plugin 5.157.1 及更早版本中缺少權限檢查,允許具有「整體/讀取」權限的攻擊者使用透過另一種方法取得的攻擊者指定憑證 ID,連線至攻擊者指定的 URL,進而擷取儲存在 Jenkins 中的憑證。(CVE-2021-21637)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

將 REST List Parameter 外掛程式升級至 1.3.1 版或更新版本;將 OWASP Dependency-Track 外掛程式升級至 3.1.1 版或更新版本;將 Jabber (XMPP) 通知程式和控制外掛程式升級至 1.42 版或更新版本;將 Extra Columns 外掛程式升級至 1.23 版或更新版本;將 Cloud Statistics 外掛程式升級至 0.27 版或更新版本;將 Build with Parameters 外掛程式升級至 1.5.1 版或更新版本。

請參閱 Team Foundation Server 外掛程式的廠商公告。

另請參閱

https://jenkins.io/security/advisory/2021-03-30

Plugin 詳細資訊

嚴重性: High

ID: 155735

檔案名稱: jenkins_security_advisory_2021-03-30_plugins.nasl

版本: 1.4

類型: combined

系列: CGI abuses

已發布: 2021/11/30

已更新: 2023/7/28

組態: 啟用徹底檢查

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2021-21638

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2021/3/30

弱點發布日期: 2021/3/30

參考資訊

CVE: CVE-2021-21628, CVE-2021-21629, CVE-2021-21630, CVE-2021-21631, CVE-2021-21632, CVE-2021-21633, CVE-2021-21634, CVE-2021-21635, CVE-2021-21636, CVE-2021-21637, CVE-2021-21638