Jenkins 外掛程式 多個漏洞 (2022 年 3 月 29 日)

high Nessus Plugin ID 159377

Synopsis

遠端 Web 伺服器上執行的應用程式受到多個弱點的影響

描述

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins 外掛程式是 Jenkins Bitbucket Server Integration Plugin 3.2.0 更舊版本、Continuous Integration with Toad Edge Plugin 2.4 更舊版本、Coverage/Complexity Scatter Plot Plugin 1.1.1 或更舊版本、Flaky Test Handler Plugin 1.2.2 更舊版本、JiraTestResultReporter Plugin 166. 更舊版本、Job and Node ownership Plugin 0.13.0 或更舊版本、Pipeline: Phoenix AutoTest Plugin 1.3 或更舊版本、Proxmox Plugin 0.7.1 更舊版本、RocketChat Notifier Plugin 1.5.0 更舊版本、SiteMonitor Plugin 0.6 或更舊版本、Tests Selector Plugin 1.3.3 或更舊版本、Instant-messaging Plugin 1.42 更舊版本。因此,其會受到多個弱點影響:

- Jenkins Bitbucket Server Integration Plugin 3.1.0 及更舊版本不會限制 OAuth 使用者的回呼 URL 配置,導致可建立 BitBucket Server 使用者的攻擊者能夠利用儲存性跨網站指令碼 (XSS) 弱點。(CVE-2022-28133)

- Jenkins Bitbucket Server Integration Plugin 3.1.0 及更舊版本不會在少數幾個 HTTP 端點中執行權限檢查,進而允許具有「全域/讀取」權限的攻擊者建立、檢視和刪除 BitBucket Server 使用者。(CVE-2022-28134)

- Jenkins Instant-messaging Plugin 1.41 及更舊版本會將未加密的群組聊天密碼儲存在 Jenkins 控制器上基於 Jenkins Instant-messaging Plugin 的全域組態檔案中,而這些密碼可由具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2022-28135)

- Jenkins JiraTestResultReporter Plugin 165.v817928553942 及更舊版本中有一個跨網站要求偽造 (CSRF) 弱點,允許攻擊者使用其指定的憑證連線至其指定的 URL。(CVE-2022-28136)

- Jenkins JiraTestResultReporter Plugin 165.v817928553942 及更舊版本中有一個缺少權限檢查弱點,允許具有「全域/讀取」權限的攻擊者使用其指定的憑證連線至其指定的 URL。(CVE-2022-28137)

- Jenkins RocketChat Notifier Plugin 1.4.10 及更舊版本中有一個跨網站要求偽造 (CSRF) 弱點,允許攻擊者使用其指定的憑證連線至其指定的 URL。
(CVE-2022-28138)

- Jenkins RocketChat Notifier Plugin 1.4.10 及更舊版本中有一個缺少權限檢查弱點,允許具有「全域/讀取」權限的攻擊者使用其指定的憑證連線至其指定的 URL。
(CVE-2022-28139)

- Jenkins Flaky Test Handler Plugin 1.2.1 及更舊版本不會設定其 XML 剖析器,以防禦 XML 外部實體 (XXE) 攻擊。(CVE-2022-28140)

- Jenkins Proxmox Plugin 0.5.0 及更舊版本會將未加密的 Proxmox 資料中心密碼儲存在 Jenkins 控制器上的全域 config.xml 檔案中,而這些密碼可由具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2022-28141)

- 若將 Jenkins Proxmox Plugin 0.6.0 及更舊版本設定為忽略 SSL/TLS 問題,將會造成全域停用 Jenkins 控制器 JVM 的 SSL/TLS 憑證驗證。(CVE-2022-28142)

- Jenkins Proxmox Plugin 0.7.0 及更舊版本中有一個跨網站要求偽造 (CSRF) 弱點,允許攻擊者使用其指定的使用者名稱和密碼連線至其指定的主機 (執行連線測試),在執行連線測試時全域停用針對 Jenkins 控制器 JVM 的 SSL/TLS 驗證 (參閱 CVE-2022-28142),並使用攻擊者指定的參數測試回滾。
(CVE-2022-28143)

- Jenkins Proxmox Plugin 0.7.0 及更舊版本不會在少數幾個 HTTP 端點中執行權限檢查,進而允許具有「全域/讀取」權限的攻擊者使用其指定的使用者名稱和密碼連線至其指定的主機 (執行連線測試),在執行連線測試時全域停用針對 Jenkins 控制器 JVM 的 SSL/TLS 驗證 (參閱 CVE-2022-28142),並使用攻擊者指定的參數測試回滾。(CVE-2022-28144)

- Jenkins Continuous Integration with Toad Edge Plugin 2.3 及更舊版本不會將 Content-Security-Policy 標頭套用至其提供服務的報告檔案,導致具有「項目/組態」權限的攻擊者可利用儲存性跨網站指令碼 (XSS),或以其他方式控制報告內容。(CVE-2022-28145)

- Jenkins Continuous Integration with Toad Edge Plugin 2.3 及更舊版本允許具有「項目/組態」權限的攻擊者,將 Jenkins 控制器上的輸入資料夾指定為其構建步驟的參數,進而讀取 Jenkins 控制器上的任意檔案。(CVE-2022-28146)

- Jenkins Continuous Integration with Toad Edge Plugin 2.3 及更舊版本中有一個缺少權限檢查弱點,允許具有「全域/讀取」權限的攻擊者檢查 Jenkins 控制器檔案系統上是否存在攻擊者指定的檔案路徑。(CVE-2022-28147)

- Jenkins Continuous Integration with Toad Edge Plugin 2.3 及更舊版本中的檔案瀏覽器可能會將某些檔案路徑解譯為 Windows 上的絕對路徑,進而導致產生一個路徑遍歷弱點,該弱點允許具有「全域/讀取」權限的攻擊者取得 Windows 控制器上任意檔案的內容。
(CVE-2022-28148)

- Jenkins Job and Node ownership Plugin 0.13.0 及更舊版本不會逸出次要擁有者的名稱,進而導致具有「項目/組態」權限的攻擊者可利用儲存性跨網站指令碼 (XSS) 弱點。(CVE-2022-28149)

- Jenkins Job and Node ownership Plugin 0.13.0 及更舊版本中有一個跨網站要求偽造 (CSRF) 弱點,允許攻擊者更改工作的擁有者和項目特定權限。(CVE-2022-28150)

- Jenkins Job and Node ownership Plugin 0.13.0 及更舊版本中有一個缺少權限檢查弱點,允許具有「項目/讀取」權限的攻擊者更改工作的擁有者和項目特定權限。(CVE-2022-28151)

- Jenkins Job and Node ownership Plugin 0.13.0 及更舊版本中有一個跨網站要求偽造 (CSRF) 弱點,允許攻擊者還原工作的預設擁有權。(CVE-2022-28152)

- Jenkins SiteMonitor Plugin 0.6 及更舊版本不會逸出工具提示中指向監控器的網站 URL,進而導致具有「項目/組態」權限的攻擊者可利用儲存性跨網站指令碼 (XSS) 弱點。(CVE-2022-28153)

- Jenkins Coverage/Complexity Scatter Plot Plugin 1.1.1 及更舊版本不會設定其 XML 剖析器,以防禦 XML 外部實體 (XXE) 攻擊。(CVE-2022-28154)

- Jenkins 工作流程:Phoenix AutoTest Plugin 1.3 及更舊版本不會設定其 XML 剖析器,以防禦 XML 外部實體 (XXE) 攻擊。(CVE-2022-28155)

- Jenkins 工作流程:Phoenix AutoTest Plugin 1.3 及更舊版本允許具有「項目/組態」權限的攻擊者將任意檔案和目錄從 Jenkins 控制器複製到代理程式工作區。
(CVE-2022-28156)

- Jenkins 工作流程:Phoenix AutoTest Plugin 1.3 及更舊版本允許具有「項目/組態」權限的攻擊者透過 FTP 將任意檔案從 Jenkins 控制器上傳到攻擊者指定的 FTP 伺服器。
(CVE-2022-28157)

- Jenkins Pipeline: Phoenix AutoTest Plugin 1.3 及更舊版本中存在一個缺少權限檢查弱點,允許具有「全域/讀取」權限的攻擊者列舉 Jenkins 中已儲存憑證的憑證 ID。
(CVE-2022-28158)

- Jenkins Tests Selector Plugin 1.3.3 及更舊版本不會逸出「選擇測試」參數的「內容檔案路徑」,導致具有「項目/組態」權限的攻擊者可利用儲存性跨網站指令碼 (XSS) 弱點。(CVE-2022-28159)

- Jenkins Tests Selector Plugin 1.3.3 及更舊版本允許具有「項目/組態」權限的使用者讀取 Jenkins 控制器上的任意檔案。(CVE-2022-28160)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

將 Instant-messaging Plugin 升級至 1.42 或更新版本,將 RocketChat Notifier Plugin 升級至 1.5.0 或更新版本,將 Proxmox Plugin 升級至 0.7.1 版或更新版本,將 JiraTestResultReporter Plugin 升級至 166. 或更新版本,將 Flaky Test Handler Plugin 升級至 1.2.2 或更新版本,將 Continuous Integration with Toad Edge Plugin 更新至 2.4 或更新版本,將 Bitbucket Server Integration Plugin 更新至 3.2.0 或更新版本

另請參閱

https://jenkins.io/security/advisory/2022-03-29

Plugin 詳細資訊

嚴重性: High

ID: 159377

檔案名稱: jenkins_security_advisory_2022-03-29_plugins.nasl

版本: 1.5

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2022/3/31

已更新: 2022/4/26

組態: 啟用徹底檢查

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: AV:N/AC:M/Au:N/C:P/I:P/A:P

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-28150

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/3/29

弱點發布日期: 2022/3/29

參考資訊

CVE: CVE-2022-28133, CVE-2022-28134, CVE-2022-28135, CVE-2022-28136, CVE-2022-28137, CVE-2022-28138, CVE-2022-28139, CVE-2022-28140, CVE-2022-28141, CVE-2022-28142, CVE-2022-28143, CVE-2022-28144, CVE-2022-28145, CVE-2022-28146, CVE-2022-28147, CVE-2022-28148, CVE-2022-28149, CVE-2022-28150, CVE-2022-28151, CVE-2022-28152, CVE-2022-28153, CVE-2022-28154, CVE-2022-28155, CVE-2022-28156, CVE-2022-28157, CVE-2022-28158, CVE-2022-28159, CVE-2022-28160