Jenkins Enterprise 與 Operations Center 2.346.x < 2.346.40.0.6 / 2.361.3.4 多個弱點 (CloudBees 安全公告 2022-11-15)

critical Nessus Plugin ID 167634

Synopsis

遠端網頁伺服器上託管的工作排程與管理系統受到多個弱點影響。

描述

遠端 Web 伺服器上執行的 Jenkins Enterprise 或 Jenkins Operations Center 為低於 2.346.40.0.6 的 2.346.x 版本或低於 2.361.3.4 的 2.x 版本。因此,該主機會受到多個弱點影響,包括:

- snakeyaml 上的 CVE-2022-38751 (已修正 train 2.346.x.0.z) (BEE-23728)

- snakeyaml 上的 CVE-2022-38749 (已修正 train 2.346.x.0.z) (BEE-23729)

- Pipeline Utility Steps 外掛程式中的遠端程式碼執行弱點 (CVE-2022-33980)

- NS-ND Integration Performance Publisher 外掛程式無條件停用 SSL/TLS 憑證驗證 (CVE-2022-38666)

- Script Security 外掛程式中的完整指令碼批准容易受到 SHA-1 衝突影響 (CVE-2022-45379)

- JUnit 外掛程式中的儲存式 XSS 弱點 (CVE-2022-45380)

- Pipeline Utility Steps 外掛程式中的任意檔案讀取弱點 (CVE-2022-45381)

- Naginator 外掛程式中的儲存式 XSS 弱點 (CVE-2022-45382)

- Support Core 外掛程式中的權限檢查不正確 (CVE-2022-45383)

- Reverse Proxy Auth 外掛程式以純文字儲存密碼 (CVE-2022-45384)

- CloudBees Docker Hub/Registry Notification 外掛程式中缺少 webhook 驗證機制 (CVE-2022-45385)

- Violations 外掛程式中的代理程式存在 XXE 弱點 (CVE-2022-45386)

- BART 外掛程式中的儲存式 XSS 弱點 (CVE-2022-45387)

- Config Rotator 外掛程式中的任意檔案讀取弱點 (CVE-2022-45388)

- XP-Dev 外掛程式中缺少 webhook 驗證機制 (CVE-2022-45389)

- loader.io 外掛程式中缺少權限檢查,因而允許列舉憑證 ID (CVE-2022-45390)

- NS-ND Integration Performance Publisher 外掛程式全域無條件停用 SSL/TLS 憑證驗證 (CVE-2022-45391)

- NS-ND Integration Performance Publisher 外掛程式以純文字儲存密碼 (CVE-2022-45392)

- Delete log 外掛程式中存在 CSRF 弱點並且遺漏權限檢查 (CVE-2022-45393、CVE-2022-45394)

- CCCC 外掛程式中的代理程式存在 XXE 弱點 (CVE-2022-45395)

- SourceMonitor 外掛程式中的代理程式存在 XXE 弱點 (CVE-2022-45396)

- OSF Builder Suite: : XML Linter 外掛程式中的代理程式存在 XXE 弱點 (CVE-2022-45397)

- Cluster Statistics 外掛程式中存在 CSRF 弱點並且遺漏權限檢查 (CVE-2022-45398、CVE-2022-45399)

- JAPEX 外掛程式中的 XXE 弱點 (CVE-2022-45400)

- Associated Files 外掛程式中的儲存式 XSS 弱點 (CVE-2022-45401)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Jenkins Enterprise 或 Jenkins Operations Center 升級至 2.346.40.0.6、2.361.3.4 或更新版本。

另請參閱

http://www.nessus.org/u?d9523d7d

Plugin 詳細資訊

嚴重性: Critical

ID: 167634

檔案名稱: cloudbees-security-advisory-2022-11-15.nasl

版本: 1.3

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2022/11/16

已更新: 2022/11/17

組態: 啟用徹底檢查

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: High

分數: 8.4

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-33980

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:cloudbees:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/11/15

弱點發布日期: 2022/11/15

參考資訊

CVE: CVE-2022-33980, CVE-2022-38666, CVE-2022-45379, CVE-2022-45380, CVE-2022-45381, CVE-2022-45382, CVE-2022-45383, CVE-2022-45384, CVE-2022-45385, CVE-2022-45386, CVE-2022-45387, CVE-2022-45388, CVE-2022-45389, CVE-2022-45390, CVE-2022-45391, CVE-2022-45392, CVE-2022-45393, CVE-2022-45394, CVE-2022-45395, CVE-2022-45396, CVE-2022-45397, CVE-2022-45398, CVE-2022-45399, CVE-2022-45400, CVE-2022-45401