Jenkins 外掛程式多個弱點 (2022 年 10 月 19 日)

critical Nessus Plugin ID 172085

語系:

概要

遠端 Web 伺服器上執行的應用程式受到多個弱點的影響

描述

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins 外掛程式版本受到多個弱點影響:

 - 在 Jenkins Script Security 外掛程式 1183.v774b_0b_0a_a_451 和更舊版本中,有一個涉及 Groovy 語言執行階段隱含執行不同轉換的沙箱繞過弱點,具有定義和執行沙箱指令碼 (包括工作流程) 權限的攻擊者可藉此在 Jenkins 控制器 JVM 內容中繞過沙箱保護並執行任意程式碼。(CVE-2022-43401)

 - 在 Jenkins Script Security 外掛程式 1183.v774b_0b_0a_a_451 和更舊版本中,有一個涉及構建的構造函數體和調用沙箱生成的合成構造函數的沙箱繞過弱點,具有定義和執行沙箱指令碼 (包括工作流程) 權限的攻擊者可藉此在 Jenkins 控制器 JVM 上下文中繞過沙箱保護並執行任意程式碼。(CVE-2022-43404)

 - Jenkins 工作流程中的沙箱繞過弱點:Groovy Libraries 外掛程式 612.v84da_9c54906d 和更舊版本允許具有定義不受信任的工作流程程式庫和定義和執行沙箱指令碼 (包括工作流程) 權限的攻擊者繞過沙箱保護,並在 Jenkins 控制器 JVM 的內容中執行任意程式碼。(CVE-2022-43405)

 - Jenkins 工作流程中的沙箱繞過弱點:Deprecated Groovy Libraries 外掛程式 583.vf3b_454e43966 和更舊版本允許具有定義不受信任的工作流程程式庫和定義和執行沙箱指令碼 (包括工作流程) 權限的攻擊者繞過沙箱保護,並在 Jenkins 控制器 JVM 的內容中執行任意程式碼。(CVE-2022-43406)

 - Jenkins 工作流程:Input Step 外掛程式 451.vf1a_a_4f405289 和更舊版本未限製或清理選擇性指定的「輸入」步驟 ID,該 ID 用於處理指定「輸入」步驟 (繼續或中止) 的使用者互動,且未正確執行已編碼的 URL,攻擊者可藉此將工作流程設定為讓 Jenkins 從「輸入」步驟 ID 構建 URL,進而在與「輸入」步驟互動時,繞過 Jenkins 中任何目標 URL 的 CSRF 保護。(CVE-2022-43407)

 - Jenkins 工作流程:使用 Stage View 外掛程式 2.26 及更舊版本來產生 URL 以繼續或中止工作流程構建時,未正確編碼「輸入」步驟的 ID,攻擊者可藉此將工作流程設定為指定「輸入」步驟 ID,進而導致構建會繞過 Jenkins 中任何目標 URL 的 CSRF 保護的 URL。(CVE-2022-43408)

 - Jenkins 工作流程:Supporting APIs 外掛程式 838.va_3a_087b_4055b 和更舊版本未清理或正確編碼構建記錄中傳送 POST 要求的超連結 URL,從而導致可建立工作流程的攻擊者惡意利用已儲存的跨網站指令碼 (XSS) 弱點。(CVE-2022-43409)

 - Jenkins Mercurial 外掛程式 1251.va_b_121f184902 和更舊版本提供有關透過其 webhook 端點觸發或排程輪詢的工作的資訊,包括使用者無權限存取的工作。(CVE-2022-43410)

 - Jenkins GitLab 外掛程式 1.5.35 及更舊版本在檢查所提供的和預期的 webhook 權杖是否相等時使用非常數時間比較函式,這可能允許攻擊者使用統計方法取得有效的 webhook 權杖。(CVE-2022-43411)

 - Jenkins Generic Webhook Trigger 外掛程式 1.84.1 及更舊版本在檢查所提供的和預期的 webhook 權杖是否相等時使用非常數時間比較函式,這可能允許攻擊者使用統計方法取得有效的 webhook 權杖。(CVE-2022-43412)

 - 在 Jenkins Job Import 外掛程式 3.5 及更舊版本中,有一個 HTTP 端點未執行權限檢查,從而允許具有「整體/讀取」權限的攻擊者列舉 Jenkins 中所儲存憑證的憑證 ID。(CVE-2022-43413)

 - Jenkins NUnit 外掛程式 0.27 及更舊版本會實作代理程式至控制器的訊息,該訊息將使用者指定目錄中的檔案剖析為測試結果,進而允許攻擊者控制代理程式處理程序從 Jenkins 控制器上攻擊者指定目錄中的文件檔案取得測試結果。(CVE-2022-43414)

 - Jenkins REPO 外掛程式 1.15.0 及更舊版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。(CVE-2022-43415)

 - Jenkins Katalon 外掛程式 1.0.32 和更舊版本會實作代理程式/控制器訊息,該訊息不限制可執行的位置,並允許以可設定引數叫用 Katalon,攻擊者可藉此控制代理程式處理程序,進而利用攻擊者控制的版本在 Jenkins 控制器上叫用 Katalon 、安裝位置和引數;攻擊者還可以在 Jenkins 控制器上建立檔案 (例如,具有 Item/Configure 權限的攻擊者可封存成品) 以叫用任意 OS 命令。
 (CVE-2022-43416)

 - Jenkins Katalon 外掛程式 1.0.32 及更舊版本不在多個 HTTP 端點執行權限檢查,這允許具有「整體/讀取」權限的攻擊者使用其透過其他方法取得的攻擊者指定的憑證 ID 連接至攻擊者指定的 URL,進而擷取 Jenkins 中儲存的憑證。
 (CVE-2022-43417)

 - Jenkins Katalon 外掛程式 1.0.33 及更舊版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可藉此使用其透過其他方法取得的攻擊者指定的憑證 ID 連接至攻擊者指定的 URL,進而擷取 Jenkins 中儲存的憑證。(CVE-2022-43418)

 - Jenkins Katalon 外掛程式 1.0.32 及更舊版本會將未加密的 API 金鑰儲存在 Jenkins 控制器上的工作 config.xml 檔案中,而這些 API 金鑰可由具有擴展讀取權限或具有 Jenkins 控制器檔案系統存取權的使用者檢視。(CVE-2022-43419)

 - Jenkins Contrast Continuous Application Security 外掛程式 3.9 及更舊版本在產生報告時未逸出從 Contrast 服務傳回的資料,導致可控製或修改 Contrast 服務 API 回應的攻擊者惡意利用已儲存的跨網站指令碼 (XSS) 弱點。
 (CVE-2022-43420)

 - Jenkins Tuleap Git Branch Source 外掛程式 3.2.4 和更舊版本中缺少權限檢查,允許未經驗證的攻擊者觸發其設定的存放庫符合攻擊者指定值的 Tuleap 專案。(CVE-2022-43421)

 - Jenkins Compuware Topaz Utilities 外掛程式 1.0.8 和更舊版本實作的代理程式/控制器訊息不限制其執行位置,攻擊者可藉此控制代理程式處理程序,進而從 Jenkins 控制器處理程序取得 Java 系統屬性值。(CVE-2022-43422)

 - Jenkins Compuware Source Code Download for Endevor, PDS, and ISPW 外掛程式 2.0.12 和更舊版本實作的代理程式/控制器訊息不限制其執行位置,攻擊者可藉此控制代理程式處理程序,進而從 Jenkins 控制器處理程序取得 Java 系統屬性值。
 (CVE-2022-43423)

 - Jenkins Compuware Xpediter Code Coverage 外掛程式 1.0.7 和更舊版本實作的代理程式/控制器訊息不限制其執行位置,攻擊者可藉此控制代理程式處理程序,進而從 Jenkins 控制器處理程序取得 Java 系統屬性值。(CVE-2022-43424)

 - Global Custom Checkbox Parameter 外掛程式 1.4 及更舊版本不會在顯示參數的檢視畫面中逸出 Custom Checkbox Parameter 參數的名稱和說明,進而導致具有「項目/組態」權限的攻擊者可利用的儲存式跨網站指令碼 (XSS) 弱點。(CVE-2022-43425)

 - Jenkins S3 Explorer 外掛程式1.0.8 及更舊版本並未遮罩 AWS_SECRET_ACCESS_KEY 表單欄位,這增加了攻擊者觀察和擷取金鑰的可能性。(CVE-2022-43426)

 - 在 Jenkins Compuware Topaz for Total Test 外掛程式 2.4.8 及更舊版本中,有多個 HTTP 端點未執行權限檢查,從而允許具有「整體/讀取」權限的攻擊者列舉 Jenkins 中所儲存憑證的憑證 ID。(CVE-2022-43427)

 - Jenkins Compuware Topaz for Total Test 外掛程式 2.4.8 和更舊版本實作的代理程式/控制器訊息不限制其執行位置,攻擊者可藉此控制代理程式處理程序,進而從 Jenkins 控制器處理程序取得 Java 系統屬性值。(CVE-2022-43428)

 - Jenkins Compuware Topaz for Total Test 外掛程式 2.4.8 和更舊版本實作的代理程式/控制器訊息不限制其執行位置,攻擊者可藉此控制代理程式處理程序,進而從 Jenkins 控制器處理程序檔案系統上讀取任意文件。(CVE-2022-43429)

 - Jenkins Compuware Topaz for Total Test 外掛程式 2.4.8 及更舊版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。(CVE-2022-43430)

 - 在 Jenkins Compuware Strobe Measurement 外掛程式 1.0.1 及更舊版本中,有一個 HTTP 端點未執行權限檢查,從而允許具有「整體/讀取」權限的攻擊者列舉 Jenkins 中所儲存憑證的憑證 ID。(CVE-2022-43431)

 - Jenkins XFramium Builder 外掛程式 1.0.22 及更早版本會以程式設計方式停用 Jenkins 提供供下載之工作區、已封存成品等中使用者產生的內容。(CVE-2022-43432)

 - Jenkins ScreenRecorder 外掛程式 0.7 及更早版本會以程式設計方式停用 Jenkins 提供供下載之工作區、已封存成品等中使用者產生的內容。
 (CVE-2022-43433)

 - Jenkins NeuVector Vulnerability Scanner 外掛程式 1.20 及更早版本會以程式設計方式停用 Jenkins 提供供下載之工作區、已封存成品等中使用者產生的內容。(CVE-2022-43434)

 - Jenkins 360 FireLine 外掛程式 1.7.2 及更早版本會以程式設計方式停用 Jenkins 提供供下載之工作區、已封存成品等中使用者產生的內容。
 (CVE-2022-43435)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

將 Jenkins 外掛程式升級至下列版本:
 - 360 FireLine 外掛程式:請參閱廠商公告
 - 將 Compuware Source Code Download for Endevor, PDS, and ISPW 外掛程式升級至 2.0.13 版或更新版本
 - Compuware Strobe Measurement 外掛程式:請參閱廠商公告
 - Compuware Topaz for Total Test 外掛程式:請參閱廠商公告
 - 將 Compuware Topaz Utilities 外掛程式升級至 1.0.9 版或更新版本
 - 將 Compuware Xpediter Code Coverage 外掛程式升級至 1.0.8 版或更新版本
 - 將 Contrast Continuous Application Security 外掛程式升級至 3.10 版或更新版本
 - Custom Checkbox Parameter 外掛程式:請參閱廠商公告
 - 將 Generic Webhook Trigger 外掛程式升級至 1.84.2 版或更新版本
 - 將 GitLab 外掛程式升級至 1.5.36 版或更新版本
 - 將 Job Import 外掛程式升級至 3.6 版或更新版本
 - 將 Katalon 外掛程式升級至 1.0.34 版或更新版本
 - 將 Mercurial 外掛程式升級至 1260.vdfb_723cdcc81 版或更新版本
 - NeuVector Vulnerability Scanner 外掛程式:請參閱廠商公告
 - 將 NUnit 外掛程式升級至 0.28 版或更新版本
 - Pipeline:將 Deprecated Groovy Libraries 外掛程式升級至 588.v576c103a_ff86 版或更新版本
 - Pipeline:Groovy Libraries 外掛程式:請參閱廠商公告
 - Pipeline:將 Groovy 外掛程式升級至 2803.v1a_f77ffcc773 版或更新版本
 - Pipeline:將 Input Step 外掛程式升級至 456.vd8a_957db_5b_e9 版或更新版本
 - Pipeline:將 Stage View 外掛程式升級至 2.27 版或更新版本
 - Pipeline:將 Supporting APIs 外掛程式升級至 839.v35e2736cfd5c 版或更新版本
 - 將 REPO 外掛程式升級至 1.16.0 版或更新版本
 - S3 Explorer 外掛程式:請參閱廠商公告
 - ScreenRecorder 外掛程式:請參閱廠商公告
 - 將 Script Security 外掛程式升級至 1184.v85d16b_d851b_3 版或更新版本
 - 將 Tuleap Git Branch Source 外掛程式升級至 3.2.5 版或更新版本
 - XFramium Builder 外掛程式:請參閱廠商公告

請參閱供應商公告以取得詳細資料。

另請參閱

https://jenkins.io/security/advisory/2022-10-19

Plugin 詳細資訊

嚴重性: Critical

ID: 172085

檔案名稱: jenkins_security_advisory_2022-10-19_plugins.nasl

版本: 1.1

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

發布日期: 2023/3/3

更新日期: 2023/3/6

支援的感應器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 6.5

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-43407

CVSS v3

風險因素: Critical

基本分數: 9.9

時間分數: 8.6

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2022-43406

弱點資訊

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/10/19

弱點發布日期: 2022/10/19

參考資訊

CVE: CVE-2022-43401, CVE-2022-43404, CVE-2022-43405, CVE-2022-43406, CVE-2022-43407, CVE-2022-43408, CVE-2022-43409, CVE-2022-43410, CVE-2022-43411, CVE-2022-43412, CVE-2022-43413, CVE-2022-43414, CVE-2022-43415, CVE-2022-43416, CVE-2022-43417, CVE-2022-43418, CVE-2022-43419, CVE-2022-43420, CVE-2022-43421, CVE-2022-43422, CVE-2022-43423, CVE-2022-43424, CVE-2022-43425, CVE-2022-43426, CVE-2022-43427, CVE-2022-43428, CVE-2022-43429, CVE-2022-43430, CVE-2022-43431, CVE-2022-43432, CVE-2022-43433, CVE-2022-43434, CVE-2022-43435