Jenkins Enterprise 和 Operations Center 2.346.x < 2.346.40.0.12 多個弱點 (CloudBees 2023-03-21-security-advisory 安全公告)

critical Nessus Plugin ID 173193

語系:

概要

遠端網頁伺服器上託管的工作排程與管理系統受到多個弱點影響。

描述

遠端 Web 伺服器上執行的 Jenkins Enterprise 或 Jenkins Operations Center 版本為低於 2.346.40.0.12 的 2.346.x 版。因此,該主機會受到多個弱點影響,包括:

 - Jenkins 中的普通權限可以啟用和停用。某些權限預設為停用,例如,Overall/Manage 或 Item/Extended Read。使用者無法直接授予停用的權限,只能透過隱含的更高權限授予 (例如,Overall/Administer 或 Item/Configure)。角色型授權策略 Plugin 587.v2872c41fa_e51 及更早版本可以授予已停用的權限。這可讓攻擊者在下列作業發生後,擁有更大的存取權:直接或透過群組將權限授予攻擊者。例如,透過指令碼主控台停用此權限。角色型授權策略 Plugin 587.588.v850a_20a_30162 不會授予已停用的權限。(CVE-2023-28668)

 - 高 - JaCoCo Plugin 3.3.2 及更早版本不會逸出 UI 上顯示的類別和方法名稱。這會導致儲存型跨網站指令碼 (XSS) 弱點,能夠控制「Record JaCoCo coverage report」構建後動作的輸入檔案的攻擊者可利用此弱點。JaCoCo Plugin 3.3.2.1 會逸出 UI 上顯示的類別和方法名稱。(CVE-2023-28669)

 - 高 - Pipeline Aggregator View Plugin 1.13 及更早版本不會在內嵌 JavaScript 中逸出表示目前檢視 URL 的變數。這會導致儲存型跨網站指令碼 (XSS) 弱點,經驗證的具有 Overall/Read 權限的攻擊者可利用此弱點。Pipeline Aggregator View Plugin 1.14 能夠以不易遭受 XSS 攻擊的方式取得目前的 URL。(CVE-2023-28670)

 - 中等 - OctoPerf Load Testing Plugin 4.5.0 及更早版本不需要向連線測試 HTTP 端點提出 POST 要求,這會導致跨網站要求偽造 (CSRF) 弱點。攻擊者可藉此使用透過另一種方法取得的攻擊者指定憑證 ID,連線至攻擊者指定的 URL,進而擷取儲存在 Jenkins 中的憑證。OctoPerf Load Testing Plugin 4.5.1 需要向受影響的連線測試 HTTP 端點提出 POST 要求。
 (CVE-2023-28671)

 - 高 - OctoPerf Load Testing Plugin 4.5.1 及更早版本不會在連線測試 HTTP 端點中執行權限檢查。這會讓具有 Overall/Read 權限的攻擊者使用透過另一種方法取得的攻擊者指定憑證 ID,連線至攻擊者指定的 URL,進而擷取儲存在 Jenkins 中的憑證。OctoPerf Load Testing Plugin 4.5.2 在存取受影響的連線測試 HTTP 端點時,會正確執行權限檢查。(CVE-2023-28672)

 - 中等 - OctoPerf Load Testing Plugin 4.5.2 及更早版本不會在 HTTP 端點中執行權限檢查。這會讓具有 Overall/Read 權限的攻擊者列舉 Jenkins 中已儲存憑證的憑證 ID。這些弱點可作為攻擊的一部分,利用另一個弱點來擷取憑證。在 OctoPerf Load Testing Plugin 4.5.3 中,列舉憑證 ID 需要有適當的權限。(CVE-2023-28673)

 - 中等 - OctoPerf Load Testing Plugin 4.5.2 及更早版本不會在數個 HTTP 端點中執行權限檢查。具有 Overall/Read 權限的攻擊者可藉此使用攻擊者指定的憑證連線至之前設定的 Octoperf 伺服器。此外,這些端點不需要 POST 要求,這可導致跨網站要求偽造 (CSRF) 弱點。OctoPerf Load Testing Plugin 4.5.3 需要受影響的 HTTP 端點的 POST 要求和適當權限。
 (CVE-2023-28674、CVE-2023-28675)

 - 高 - Convert To Pipeline Plugin 1.0 及更早版本在將 Freestyle 專案轉換爲管線時,不需要向 HTTP 端點提出 POST 要求,這會導致跨網站要求偽造 (CSRF) 弱點。此弱點允許攻擊者根據 Freestyle 專案建立管線。
 結合 SECURITY-2966,這可導致攻擊者執行未經沙箱處理的管線指令碼。截至本公告發布時,尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28676)

 - 高 - Convert To Pipeline Plugin 1.0 及更早版本使用基本字串串連將 Freestyle 專案的構建環境、構建步驟和構建後動作轉換為等同的管線步驟叫用。這讓攻擊者能夠設定 Freestyle 專案,以準備特製的組態,將 Pipeline 指令碼插入由 Convert To Pipeline Plugin 轉換產生的 (未經沙箱處理的) 管線。如果系統管理員將 Freestyle 專案轉換為管線,則會預先核准此指令碼。截至本公告發布時,尚無修正。瞭解我們為何宣佈此問題。
 (CVE-2023-28677)

 - 高 - Cppcheck Plugin 1.26 及更早版本未從 Cppcheck 報告檔案逸出檔案名稱便將其顯示在 Jenkins UI 上。這會導致儲存型跨網站指令碼 (XSS) 弱點,能夠控制報告檔案內容的攻擊者可利用此弱點。截至本公告發布時,尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28678)

 - 高 - Mashup Portlets Plugin 1.1.2 及更早版本提供 Generic JS Portlet 功能,讓使用者可以使用自訂 JavaScript 運算式填入 portlet。這會導致儲存型跨網站指令碼 (XSS) 弱點,經驗證的具有 Overall/Read 權限的攻擊者可利用此弱點。截至本公告發布時,尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28679)

 - 高 - Crap4J Plugin 0.9 和更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。能夠控制 Crap 報告檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案,以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時,尚無修正。瞭解我們為何宣佈此問題。
 (CVE-2023-28680)

 - 高 - Visual Studio Code Metrics Plugin 1.7 和更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。能夠控制 VS Code Metrics 檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案,以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時,尚無修正。
 瞭解我們為何宣佈此問題。(CVE-2023-28681)

 - 高 - Performance Publisher Plugin 8.09 和更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。能夠控制 PerfPublisher 報告檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案,以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時,尚無修正。
 瞭解我們為何宣佈此問題。(CVE-2023-28682)

 - 高 - Phabricator Differential Plugin 2.1.5 和更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。能夠控制 'Post to Phabricator' 建構後動作覆蓋範圍報告檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案,以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時,尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28683)

 - 高 - remote-jobs-view-plugin Plugin 0.0.3 和更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。具有 Overall/Read 權限的經驗證的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案,以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時,尚無修正。
 瞭解我們為何宣佈此問題。(CVE-2023-28684)

 - 高 - AbsInt a Plugin 1.1.0 和更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。能夠控制 'Project File (APX)' 內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案,以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時,尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28685)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Jenkins Enterprise 或 Jenkins Operations Center 升級至 2.346.40.0.12 或更新版本。

另請參閱

http://www.nessus.org/u?c72f3eb7

Plugin 詳細資訊

嚴重性: Critical

ID: 173193

檔案名稱: cloudbees-security-advisory-2023-03-21-security-advisory.nasl

版本: 1.1

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

發布日期: 2023/3/21

更新日期: 2023/4/10

組態: 啟用徹底檢查

支援的感應器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2023-28677

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:cloudbees:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2023/3/21

弱點發布日期: 2023/3/21

參考資訊

CVE: CVE-2023-28668, CVE-2023-28669, CVE-2023-28670, CVE-2023-28671, CVE-2023-28672, CVE-2023-28673, CVE-2023-28674, CVE-2023-28675, CVE-2023-28676, CVE-2023-28677, CVE-2023-28678, CVE-2023-28679, CVE-2023-28680, CVE-2023-28681, CVE-2023-28682, CVE-2023-28683, CVE-2023-28684, CVE-2023-28685