遠端 Web 伺服器上執行的 Jenkins Enterprise 或 Jenkins Operations Center 版本為早於 2.303.30.0.15 的 2.303.x 版本或早於 2.346.2.3 的 2.x 版本。因此會受到包括以下在內的多個弱點影響：

  - Jenkins Git 外掛程式 4.11.3 和更舊版本中存在跨網站要求偽造 (CSRF) 弱點，攻擊者可藉此觸發設定為使用攻擊者指定的 Git 存放庫的工作版本，並使其簽出攻擊者指定的提交。(CVE-2022-36882)

  - Jenkins Deployer Framework 外掛程式 85.v1d1888e8c021 及更舊版本中在設定部署時未限制應用程式的應用程式路徑，具有項目/組態權限的攻擊者可藉此將任意檔案從 Jenkins 控制器檔案系統上傳至所選服務。(CVE-2022-36889)

  - Jenkins Coverity 外掛程式 1.11.4 及更舊版本中存在跨網站要求偽造 (CSRF) 弱點，攻擊者可藉此使用其透過其他方法取得的攻擊者指定的憑證 ID 連接至攻擊者指定的 SSH 伺服器，進而擷取 Jenkins 中儲存的憑證。(CVE-2022-36920)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Jenkins Enterprise 和 Operations Center 2.303.x < 2.303.30.0.15 / 2.346.2.3 多個弱點 (CloudBees 安全公告 2022-07-27)

high Nessus Plugin ID 165764

版本 1.3

版本 1.2

版本 1.3 Dec 1, 2022, 4:17 PM CVSS metrics ("CVSSv2 score" changed from "6.8" to "10.0") CVSS metrics ("CVSSv2 vector" changed from "CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P" to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSSv2 score source (changed from "CVE-2022-36882" to "CVE-2022-36920") CVSSv2 severity (based on CVE-2022-36920, severity increased from "Medium" to "High") Exploit attributes ("Exploit available" set to "False") Plugin Feed: 202212011617
版本 1.2 Oct 10, 2022, 3:53 PM Exploit attributes CVSS temporal metrics CVE (Changed from None to CVE-2022-36920) Plugin Feed: 202210101553