Jenkins plugins 多個弱點 (2022 年 1 月 12 日)

high Nessus Plugin ID 156930

Synopsis

遠端 Web 伺服器上執行的應用程式受到多個弱點的影響

描述

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins 外掛程式是早於 2.25.1 版的 Jenkins Active Directory Plugin、 早於 1.9.1 版的 Badge Plugin、早於 746. 版的 Bitbucket Branch Source Plugin、早於 1.55.1 版的 Configuration as Code Plugin、 Conjur Secrets Plugin 1.0.9 或更早版本、早於 1.27.1 版的 Credentials Binding Plugin、Debian Package Builder Plugin 1.6.11 或更早版本、早於 1.18 版本的 Docker Commons Plugin、早於 3.8.0 版的 HashiCorp Vault Plugin、早於 408. 版的 Mailer Plugin、早於 1.20 版的 Matrix Project Plugin、早於 4.0.2.8.1 版的 Metrics Plugin、Publish Over SSH Plugin 1.22 或更早版本、早於 1.23.2 版的 SSH Agent Plugin、早於 9.10.3 版的 Warnings Next Generation Plugin、Batch Task Plugin 1.19 或更早版本。因此,會受到多個弱點影響:

- Jenkins 2.329 及更舊版本、LTS 2.319.1 及更舊版本中有一個跨網站要求偽造 (CSRF) 弱點,允許攻擊者在未設定安全性領域時,觸發無參數的工作構建。
(CVE-2022-20612)

- Jenkins Mailer 外掛程式 391.ve4a_38c1b_cf4b_ 和更舊版本中有一個跨網站要求偽造 (CSRF) 弱點,允許攻擊者使用 Jenkins 執行個體使用的 DNS 解析攻擊者指定的主機名稱。(CVE-2022-20613)

- A missing permission check in Jenkins Mailer Plugin 391.ve4a_38c1b_cf4b_ and earlier allows attackers with Overall/Read access to use the DNS used by the Jenkins instance to resolve an attacker-specified hostname.
(CVE-2022-20614)

- Jenkins Matrix Project Plugin 1.19 and earlier does not escape HTML metacharacters in node and label names, and label descriptions, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Agent/Configure permission. (CVE-2022-20615)

- Jenkins Credentials Binding Plugin 1.27 及更舊版本不會在實作表單驗證的方法中執行權限檢查,而具有 Overall/Read 存取權的攻擊者可藉此驗證認證 ID 是否參照秘密檔案認證,以及其是否為 zip 檔案。 (CVE-2022-20616)

- Jenkins Docker Commons Plugin 1.17 及更舊版本不會清理影像或標籤名稱,而具有 Item/Configure 權限或能夠控制先前設定工作之 SCM 存放庫內容的攻擊者可惡意利用由此產生的 OS 命令執行弱點。(CVE-2022-20617)

- A missing permission check in Jenkins Bitbucket Branch Source Plugin 737.vdf9dc06105be and earlier allows attackers with Overall/Read access to enumerate credentials IDs of credentials stored in Jenkins.
(CVE-2022-20618)

- A cross-site request forgery (CSRF) vulnerability in Jenkins Bitbucket Branch Source Plugin 737.vdf9dc06105be and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing credentials stored in Jenkins.
(CVE-2022-20619)

- Missing permission checks in Jenkins SSH Agent Plugin 1.23 and earlier allows attackers with Overall/Read access to enumerate credentials IDs of credentials stored in Jenkins. (CVE-2022-20620)

- Jenkins Metrics Plugin 4.0.2.8 and earlier stores an access key unencrypted in its global configuration file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system. (CVE-2022-20621)

- 在大多數組態中,Jenkins Active Directory Plugin 2.25 及更舊版本不會加密 Jenkins 控制器和 Active Directory 伺服器之間的資料傳輸。(CVE-2022-23105)

- Jenkins Configuration as Code Plugin 1.55 及更舊版本使用非常數時間比較函式驗證身分驗證 token,這允許攻擊者使用統計方法取得有效的身分驗證 token。(CVE-2022-23106)

- Jenkins Warnings Next Generation Plugin 9.10.2 及更舊版本在設定自訂 ID 時未限制檔案名稱,而具有 Item/Configure 權限的攻擊者可藉此在 Jenkins 控制器檔案系統上寫入和讀取具有硬式編碼後置詞的特定檔案。(CVE-2022-23107)

- Jenkins Badge Plugin 1.9 and earlier does not escape the description and does not check for allowed protocols when creating a badge, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission. (CVE-2022-23108)

- Jenkins HashiCorp Vault Plugin 3.7.0 及更舊版本不會遮罩工作流程建構記錄或工作流程步驟說明中的 Vault 憑證 (適用於已安裝 Pipeline: Groovy Plugin 2.85 或更新版本的情況)。(CVE-2022-23109)

- Jenkins Publish Over SSH Plugin 1.22 and earlier does not escape the SSH server name, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Overall/Administer permission. (CVE-2022-23110)

- A cross-site request forgery (CSRF) vulnerability in Jenkins Publish Over SSH Plugin 1.22 and earlier allows attackers to connect to an attacker-specified SSH server using attacker-specified credentials.
(CVE-2022-23111)

- A missing permission check in Jenkins Publish Over SSH Plugin 1.22 and earlier allows attackers with Overall/Read access to connect to an attacker-specified SSH server using attacker-specified credentials.
(CVE-2022-23112)

- Jenkins Publish Over SSH Plugin 1.22 及更舊版本會執行檔案名稱驗證以確定名稱是否存在,這會導致具有 Item/Configure 權限的攻擊者發現 Jenkins 控制器檔案的名稱。(CVE-2022-23113)

- Jenkins Publish Over SSH Plugin 1.22 and earlier stores password unencrypted in its global configuration file on the Jenkins controller where it can be viewed by users with access to the Jenkins controller file system. (CVE-2022-23114)

- Jenkins batch task Plugin 1.19 及更舊版本中有跨網站要求偽造 (CSRF) 弱點,允許具有 Overall/Read 存取權的攻擊者擷取記錄、構建或刪除批次工作。(CVE-2022-23115)

- Jenkins Conquir Secrets Plugin 1.0.9 及更舊版本的實作功能允許攻擊者控制代理程式處理程序,以解密透過其他方法取得的儲存在 Jenkins 中的密碼。
(CVE-2022-23116)

- Jenkins Conjur Secrets Plugin 1.0.9 and earlier implements functionality that allows attackers able to control agent processes to retrieve all username/password credentials stored on the Jenkins controller.
(CVE-2022-23117)

- Jenkins Debian Package Builder Plugin 1.6.11 及更舊版本的實作功能允許代理程式在攻擊者指定的控制器路徑上叫用命令行 `git`,進而允許攻擊者控制代理程式處理程序,以便在控制器上叫用任意 OS 命令。(CVE-2022-23118)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Warnings Next Generation Plugin 升級至 9.10.3 或更新版本,將 SSH Agent Plugin 升級至 1.23.2 或更新版本,將 Metrics Plugin 升級至 4.0.2.8.1 或更新版本,將 Matrix Project Plugin 升級至 1.20 或更新版本,將 Mailer Plugin 升級至 408. 或更新版本,將 HashiCorp Vault Plugin 升級至 3.8.0 或更新版本,將 Docker Commons Plugin 升級至 1.18 或更新版本,將 Credentials Binding Plugin 升級至 1.27.1 或更新版本,將 Configuration as Code Plugin 升級至 1.55.1 或更新版本,將 Bitbucket Branch Source Plugin 升級至 746. 或更新版本,將 Badge Plugin 升級至 1.9.1 或更新版本,將 Active Directory Plugin 升級至 2.25.1 或更新版本

另請參閱

https://jenkins.io/security/advisory/2022-01-12

Plugin 詳細資訊

嚴重性: High

ID: 156930

檔案名稱: jenkins_security_advisory_2022-01-12_plugins.nasl

版本: 1.6

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2022/1/21

已更新: 2022/4/11

組態: 啟用徹底檢查

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9

時間分數: 6.7

媒介: AV:N/AC:L/Au:S/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-23118

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/1/12

弱點發布日期: 2022/1/12

參考資訊

CVE: CVE-2022-20612, CVE-2022-20613, CVE-2022-20614, CVE-2022-20615, CVE-2022-20616, CVE-2022-20617, CVE-2022-20618, CVE-2022-20619, CVE-2022-20620, CVE-2022-20621, CVE-2022-23105, CVE-2022-23106, CVE-2022-23107, CVE-2022-23108, CVE-2022-23109, CVE-2022-23110, CVE-2022-23111, CVE-2022-23112, CVE-2022-23113, CVE-2022-23114, CVE-2022-23115, CVE-2022-23116, CVE-2022-23117, CVE-2022-23118

IAVA: 2022-A-0027-S, 2022-A-0084