偵測

Jenkins 外掛程式多個弱點 (2022 年 11 月 15 日)

critical Nessus Plugin ID 179362

語系:

概要

遠端 Web 伺服器上執行的應用程式受到多個弱點的影響

說明

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins 外掛程式版本受到多個弱點影響:

 - Jenkins Script Security Plugin 1189.vb_a_b_7c8fd5fde 及更早版本會將完整指令碼核准儲存為指令碼的 SHA-1 雜湊,因而容易受到衝突攻擊。(CVE-2022-45379)

 - Jenkins JUnit Plugin 1159.v0b_396e1e07dd 及更早版本會以不安全的方式將測試報告輸出中的 HTTP(S) URL 轉換為可點擊的連結,這會導致具有「Item/Configure」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2022-45380)

 - Apache Commons Configuration 可執行變數插補,允許動態評估和展開內容。插補的標準格式為 ${prefix: name},其中 prefix 用於尋找執行插補的 org.apache.commons.configuration2.interpol.Lookup 執行個體。從 2.4 版直到 2.7 版,預設的 Lookup 執行個體組包含可導致任意程式碼執行或與遠端伺服器聯絡的內插程式。這些 Lookup 是:- script - 使用 JVM 指令碼執行引擎 (javax.script) 執行運算式 - dns
 - 解析 dns 記錄 - url - 從 url 載入值,包括從遠端伺服器載入。使用受影響版本中內插預設值的應用程式可能容易遭受遠端程式碼執行攻擊,或是意外連絡遠端伺服器 (如果使用未受信任的組態值)。建議使用者升級至 Apache Commons Configuration 2.8.0,其預設停用有問題的內插程式。(CVE-2022-33980)

 - Jenkins Pipeline Utility Steps Plugin 2.13.1 及更早版本未限制已啟用的前置插補的設定和預設啟用 'file:' 前置插補的 Apache Commons Configuration 庫隨附版本,這會讓攻擊者可以將 Pipelines 設定為讀取 Jenkins 控制器檔案系統中的任意檔案。(CVE-2022-45381)

 - Jenkins Naginator Plugin 1.18.1 及更早版本未逸出透過「重試」動作觸發的建置中來源建置的顯示名稱,這會導致能夠編輯建置顯示名稱的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2022-45382)

 - Jenkins Support Core Plugin 1206.v14049fa_b_d860 及更早版本中存在錯誤權限檢查弱點,具有「Support/DownloadBundle」權限的攻擊者可藉此下載之前建立的包含僅限具有「Overall/Administer」權限的使用者存取之資訊的支援套件。(CVE-2022-45383)

 - Jenkins Reverse Proxy Auth Plugin 1.7.3 及更早版本會將未加密的 LDAP 管理員密碼儲存在 Jenkins 控制器的全域 config.xml 檔案中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2022-45384)

 - Jenkins CloudBees Docker Hub/Registry Notification Plugin 2.6.2 及更早版本缺少權限檢查,未經驗證的攻擊者可藉此觸發與攻擊者指定的存放庫對應的工作建置。(CVE-2022-45385)

 - Jenkins NS-ND Integration Performance Publisher Plugin 4.8.0.143 及更早版本會將未加密的密碼儲存在 Jenkins 控制器的工作 config.xml 檔案中,而具有「Extended Read」權限或具有 Jenkins 控制器檔案系統存取權的攻擊者可以檢視這些密碼。(CVE-2022-45392)

 - Jenkins NS-ND Integration Performance Publisher Plugin 4.8.0.143 及更早版本會針對整個 Jenkins controller JVM 全域無條件停用 SSL/TLS 憑證和主機名稱驗證。
 (CVE-2022-45391)

 - Jenkins NS-ND Integration Performance Publisher Plugin 4.8.0.146 及更早版本會針對數個功能全域無條件停用 SSL/TLS 憑證和主機名稱驗證。(CVE-2022-38666)

 - Jenkins Violations Plugin 0.7.11 及更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。(CVE-2022-45386)

 - Jenkins BART Plugin 1.0.3 及更早版本未逸出建置記錄的剖析內容,便在 Jenkins UI 上轉譯該內容,這會導致儲存型跨網站指令碼 (XSS) 弱點。(CVE-2022-45387)

 - Jenkins Config Rotator Plugin 2.0.1 及更早版本未限制 HTTP 端點中的檔案名稱查詢參數,未經驗證的攻擊者可藉此讀取 Jenkins 控制器檔案系統上副檔名為「.xml」的任意檔案。(CVE-2022-45388)

- Jenkins XP-Dev Plugin 1.0 及更早版本缺少權限檢查,未經驗證的攻擊者可藉此觸發與攻擊者指定的存放庫對應的工作建置。(CVE-2022-45389)

 - Jenkins loader.io Plugin 1.0.1 及更早版本缺少權限檢查,具有「Overall/Read」權限的攻擊者可藉此列舉 Jenkins 中所儲存憑證的憑證 ID。(CVE-2022-45390)

 - Jenkins Delete log Plugin 1.0 及更早版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可利用此弱點刪除建置記錄。(CVE-2022-45393)

 - Jenkins Delete log Plugin 1.0 及更早版本缺少權限檢查,具有「Item/Read」權限的攻擊者可藉此刪除建置記錄。(CVE-2022-45394)

 - Jenkins CCCC Plugin 0.6 及更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。(CVE-2022-45395)

 - Jenkins SourceMonitor Plugin 0.2 及更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。(CVE-2022-45396)

 - Jenkins OSF Builder Suite : : XML Linter Plugin 1.0.2 及更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。(CVE-2022-45397)

 - Jenkins Cluster Statistics Plugin 0.4.6 及更早版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可藉此刪除記錄的 Jenkins Cluster Statistics。(CVE-2022-45398)

 - Jenkins Cluster Statistics Plugin 0.4.6 及更早版本缺少權限檢查,攻擊者可藉此刪除記錄的 Jenkins Cluster Statistics。(CVE-2022-45399)

 - Jenkins JAPEX Plugin 1.7 及更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。(CVE-2022-45400)

 - Jenkins Associated Files Plugin 0.2.1 及更早版本不會逸出關聯檔案的名稱,因而會導致具有「Item/Configure」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。
 (CVE-2022-45401)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

將 Jenkins 外掛程式升級至下列版本:
 - Associated Files Plugin:請參閱廠商公告
 - BART Plugin:請參閱廠商公告
 - CCCC Plugin:請參閱廠商公告
 - 將 CloudBees Docker Hub/Registry Notification Plugin 升級為 2.6.2.1 或更新版本
 - Cluster Statistics Plugin:請參閱廠商公告
 - Config Rotator Plugin:請參閱廠商公告
 - Delete log Plugin:請參閱廠商公告
 - JAPEX Plugin:請參閱廠商公告
 - 將 JUnit Plugin 升級為 1160.vf1f01a_a_ea_b_7f 或更新版本
 - loader.io Plugin:請參閱廠商公告
 - 將 Naginator Plugin 升級為 1.18.2 或更新版本
 - NS-ND Integration Performance Publisher 外掛程式:請參閱廠商公告
 - OSF Builder Suite : : XML Linter Plugin:請參閱廠商公告
 - 將 Pipeline Utility Steps Plugin 升級為 2.13.2 或更新版本
 - 將 Reverse Proxy Auth Plugin 升級為 1.7.4 或更新版本
 - 將 cript Security Plugin 升級為 1190.v65867a_a_47126 或更新版本
 - SourceMonitor Plugin:請參閱廠商公告
 - 將 Support Core Plugin 升級為 1206.1208.v9b_7a_1d48db_0f 或以上版本
 - Violations Plugin:請參閱廠商公告
 - XP-Dev Plugin:請參閱廠商公告

請參閱供應商公告以取得詳細資料。

另請參閱

https://jenkins.io/security/advisory/2022-11-15

Plugin 詳細資訊

嚴重性: Critical

ID: 179362

檔案名稱: jenkins_security_advisory_2022-11-15_plugins.nasl

版本: 1.1

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2023/8/4

已更新: 2023/8/7

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2022-33980

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

CVSS 評分資料來源: CVE-2022-45400

弱點資訊

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要的 KB 項目: installed_sw/Jenkins

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2022/11/15

弱點發布日期: 2022/7/6

參考資訊

CVE: CVE-2022-33980, CVE-2022-38666, CVE-2022-45379, CVE-2022-45380, CVE-2022-45381, CVE-2022-45382, CVE-2022-45383, CVE-2022-45384, CVE-2022-45385, CVE-2022-45386, CVE-2022-45387, CVE-2022-45388, CVE-2022-45389, CVE-2022-45390, CVE-2022-45391, CVE-2022-45392, CVE-2022-45393, CVE-2022-45394, CVE-2022-45395, CVE-2022-45396, CVE-2022-45397, CVE-2022-45398, CVE-2022-45399, CVE-2022-45400, CVE-2022-45401