偵測

Jenkins Enterprise 與 Operations Center 2.346.x < 2.346.40.0.6 / 2.361.3.4 多個弱點 (CloudBees 安全公告 2022-11-15)

critical Nessus Plugin ID 167634

語系:

概要

遠端網頁伺服器上託管的工作排程與管理系統受到多個弱點影響。

說明

遠端 Web 伺服器上執行的 Jenkins Enterprise 或 Jenkins Operations Center 為低於 2.346.40.0.6 的 2.346.x 版本或低於 2.361.3.4 的 2.x 版本。因此,該主機會受到多個弱點影響,包括:

 - snakeyaml 上的 CVE-2022-38751 (已修正 train 2.346.x.0.z) (BEE-23728)

 - snakeyaml 上的 CVE-2022-38749 (已修正 train 2.346.x.0.z) (BEE-23729)

 - Pipeline Utility Steps 外掛程式中的遠端程式碼執行弱點 (CVE-2022-33980)

 - NS-ND Integration Performance Publisher 外掛程式無條件停用 SSL/TLS 憑證驗證 (CVE-2022-38666)

 - Script Security 外掛程式中的完整指令碼批准容易受到 SHA-1 衝突影響 (CVE-2022-45379)

 - JUnit 外掛程式中的儲存式 XSS 弱點 (CVE-2022-45380)

 - Pipeline Utility Steps 外掛程式中的任意檔案讀取弱點 (CVE-2022-45381)

 - Naginator 外掛程式中的儲存式 XSS 弱點 (CVE-2022-45382)

 - Support Core 外掛程式中的權限檢查不正確 (CVE-2022-45383)

 - Reverse Proxy Auth 外掛程式以純文字儲存密碼 (CVE-2022-45384)

 - CloudBees Docker Hub/Registry Notification 外掛程式中缺少 webhook 驗證機制 (CVE-2022-45385)

 - Violations 外掛程式中的代理程式存在 XXE 弱點 (CVE-2022-45386)

 - BART 外掛程式中的儲存式 XSS 弱點 (CVE-2022-45387)

 - Config Rotator 外掛程式中的任意檔案讀取弱點 (CVE-2022-45388)

 - XP-Dev 外掛程式中缺少 webhook 驗證機制 (CVE-2022-45389)

 - loader.io 外掛程式中缺少權限檢查,因而允許列舉憑證 ID (CVE-2022-45390)

 - NS-ND Integration Performance Publisher 外掛程式全域無條件停用 SSL/TLS 憑證驗證 (CVE-2022-45391)

 - NS-ND Integration Performance Publisher 外掛程式以純文字儲存密碼 (CVE-2022-45392)

 - Delete log 外掛程式中存在 CSRF 弱點並且遺漏權限檢查 (CVE-2022-45393、CVE-2022-45394)

 - CCCC 外掛程式中的代理程式存在 XXE 弱點 (CVE-2022-45395)

 - SourceMonitor 外掛程式中的代理程式存在 XXE 弱點 (CVE-2022-45396)

 - OSF Builder Suite: : XML Linter 外掛程式中的代理程式存在 XXE 弱點 (CVE-2022-45397)

 - Cluster Statistics 外掛程式中存在 CSRF 弱點並且遺漏權限檢查 (CVE-2022-45398、CVE-2022-45399)

 - JAPEX 外掛程式中的 XXE 弱點 (CVE-2022-45400)

 - Associated Files 外掛程式中的儲存式 XSS 弱點 (CVE-2022-45401)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Jenkins Enterprise 或 Jenkins Operations Center 升級至 2.346.40.0.6、2.361.3.4 或更新版本。

另請參閱

http://www.nessus.org/u?d9523d7d

Plugin 詳細資訊

嚴重性: Critical

ID: 167634

檔案名稱: cloudbees-security-advisory-2022-11-15.nasl

版本: 1.4

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2022/11/16

已更新: 2023/10/3

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2022-33980

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

CVSS 評分資料來源: CVE-2022-45400

弱點資訊

CPE: cpe:/a:cloudbees:jenkins

必要的 KB 項目: installed_sw/Jenkins

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2022/11/15

弱點發布日期: 2022/11/15

參考資訊

CVE: CVE-2022-33980, CVE-2022-38666, CVE-2022-45379, CVE-2022-45380, CVE-2022-45381, CVE-2022-45382, CVE-2022-45383, CVE-2022-45384, CVE-2022-45385, CVE-2022-45386, CVE-2022-45387, CVE-2022-45388, CVE-2022-45389, CVE-2022-45390, CVE-2022-45391, CVE-2022-45392, CVE-2022-45393, CVE-2022-45394, CVE-2022-45395, CVE-2022-45396, CVE-2022-45397, CVE-2022-45398, CVE-2022-45399, CVE-2022-45400, CVE-2022-45401