偵測

Jenkins 外掛程式多個弱點 (2022 年 6 月 30 日)

high Nessus Plugin ID 179363

語系:

概要

遠端 Web 伺服器上執行的應用程式受到多個弱點的影響

說明

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins 外掛程式版本受到多個弱點影響:

 - enkins GitLab Plugin 1.5.34 及更早版本逸出由 Webhook 觸發的建置描述中插入的多個欄位,進而導致具有「Item/Configure」權限的攻擊者可利用的儲存式跨網站指令碼 (XSS) 弱點。(CVE-2022-34777)

 - 如果設定了特定工作層級選項,Jenkins TestNG Results Plugin 554.va4a552116332 及更早版本會轉譯測試結果中提供的未逸出測試描述和例外情況訊息,進而導致出現跨網站指令碼 (XSS) 弱點,攻擊者可利用該弱點設定工作或控制測試結果。(CVE-2022-34778)

 - Jenkins XebiaLabs XL Release Plugin 22.0.0 及更早版本中存在缺少權限檢查弱點,具有「Overall/Read」權限的攻擊者可藉此列舉 Jenkins 中所儲存憑證的憑證 ID。(CVE-2022-34779)

 - Jenkins XebiaLabs XL Release Plugin 22.0.0 及更早版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可藉此使用其透過其他方法取得的攻擊者指定的憑證 ID 連線至攻擊者指定的 HTTP 伺服器,進而擷取 Jenkins 中儲存的憑證。(CVE-2022-34780)

 - Jenkins XebiaLabs XL Release Plugin 22.0.0 及更早版本缺少權限檢查,具有「Overall/Read」權限的攻擊者可藉此使用其透過其他方法取得的攻擊者指定的憑證 ID 連線至攻擊者指定的 HTTP 伺服器,進而擷取 Jenkins 中儲存的憑證。(CVE-2022-34781)

 - Jenkins requests-plugin Plugin 2.2.16 及更早版本中存在權限檢查錯誤弱點,具有 Overall/Read 權限的攻擊者可藉此檢視擱置要求的清單。(CVE-2022-34782)

 - Jenkins Plot Plugin 2.1.10 及更早版本不會逸出繪圖描述,因而會導致具有「Job/Configure」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2022-34783)

 - Jenkins build-metrics Plugin 1.3 及更早版本不會其中一個檢視圖上的建置描述,因而會導致具有「Build/Update」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。
 (CVE-2022-34784)

 - Jenkins build-metrics Plugin 1.3 及更早版本未在多個 HTTP 端點中執行權限檢查,具有「Overall/Read」權限的攻擊者可藉此取得他們原本無法存取的工作資訊。(CVE-2022-34785)

 - Jenkins Rich Text Publisher Plugin 1.4 及更早版本未逸出其建置後步驟所設定的 HTML 訊息,因而導致能夠設定工作的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2022-34786)

 - Jenkins Project Inheritance Plugin 21.04.03 及更早版本未逸出工具提示中封鎖版本的原因,因而導致可控制佇列項目遭封鎖原因的攻擊者可利用的跨網站指令碼 (XSS) 弱點。(CVE-2022-34787)

 - Jenkins Matrix Reloaded Plugin 1.1.3 及更早版本不會逸出工具提示中的代理程式名稱,因而會導致具有「Agent/Configure」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2022-34788)

 - Jenkins Matrix Reloaded Plugin 1.1.3 及更早版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可利用此弱點重新建構之前的矩陣建置。(CVE-2022-34789)

 - Jenkins eXtreme Feedback Panel Plugin 2.0.1 及更早版本不會逸出工具提示中使用的代理程式名稱,因而會導致具有「Item/Configure」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2022-34790)

 - Jenkins Validating Email Parameter Plugin 1.10 及更早版本不會逸出其參數類型的名稱和描述,因而會導致具有「Item/Configure」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2022-34791)

 - Jenkins Recipe Plugin 1.2 及更早版本存在跨網站要求偽造 (CSRF) 弱點,攻擊者可藉此造成程式向攻擊者指定的 URL 傳送 HTTP 要求並將其回應剖析為 XML。
 (CVE-2022-34792)

 - Jenkins Recipe Plugin 1.2 及更早版本未設定其 XML 剖析器,以防止 XML 外部實體 (XXE) 攻擊。(CVE-2022-34793)

 - Jenkins Recipe Plugin 1.2 和更早版本中缺少權限檢查,具有「Overall/Read」權限的攻擊者可藉此向攻擊者指定的 URL 傳送 HTTP 要求,並將回應剖析為 XML。
 (CVE-2022-34794)

 - Jenkins Deployment Dashboard Plugin 1.0.10 及更早版本不會逸出部署儀表板檢視圖中的環境名稱,這會導致具有「View/Configure」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2022-34795)

 - Jenkins Deployment Dashboard Plugin 1.0.10 及更早版本中缺少權限檢查,具有「Overall/Read」權限的攻擊者可藉此列舉 Jenkins 中所儲存憑證的憑證 ID。(CVE-2022-34796)

 - Jenkins Deployment Dashboard Plugin 1.0.10 及更早版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可藉此使用其指定的憑證連線至其指定的 HTTP URL。(CVE-2022-34797)

 - 在 Jenkins Deployment Dashboard Plugin 1.0.10 及更早版本中,有數個 HTTP 端點未執行權限檢查,具有「Overall/Read」權限的攻擊者可藉此使用其指定的憑證連線至其指定的 HTTP URL。(CVE-2022-34798)

 - Jenkins Deployment Dashboard Plugin 1.0.10 及更早版本會將未加密的密碼儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2022-34799)

 - Jenkins Build Notifications Plugin 1.5.0 及更早版本會將未加密的權杖儲存在 Jenkins 控制器上的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些權杖。(CVE-2022-34800)

 - Jenkins Build Notifications Plugin 1.5.0 及更早版本會以純文字傳輸權杖,作為全域 Jenkins 組態表單的一部分,這可能會導致權杖洩漏。(CVE-2022-34801)

 - Jenkins RocketChat Notifier Plugin 1.5.2 及更早版本會將未加密的登入密碼和 Webhook 權杖儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼和權杖。(CVE-2022-34802)

 - Jenkins OpsGenie Plugin 1.9 及更早版本會將未加密的 API 金鑰儲存在 Jenkins 控制器的工作 config.xml 檔案中,而具有「Extended Read」權限 (config.xml) 或具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些 API 金鑰。(CVE-2022-34803)

 - Jenkins OpsGenie Plugin 1.9 及更早版本會以純文字傳輸 API 金鑰,作為全域 Jenkins 組態表單和工作組態表單的一部分,這可能會導致 API 金鑰洩漏。(CVE-2022-34804)

 - Jenkins Skype notifier Plugin 1.1.0 及更早版本會將未加密的密碼儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2022-34805)

 - Jenkins Jigomerge Plugin 0.9 及更早版本會將未加密的密碼儲存在 Jenkins 控制器的工作 config.xml 檔案中,而具有「Extended Read」權限或具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2022-34806)

 - Jenkins Elasticsearch Query Plugin 1.2 及更早版本會將未加密的密碼儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2022-34807)

 - Jenkins Cisco Spark Plugin 1.1.1 及更早版本會將未加密的持有人權杖儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些權杖。(CVE-2022-34808)

 - Jenkins RQM Plugin 2.8 及更早版本會將未加密的密碼儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。
 (CVE-2022-34809)

 - Jenkins RQM Plugin 2.8 及更早版本中缺少權限檢查,具有「Overall/Read」權限的攻擊者可藉此列舉 Jenkins 中所儲存憑證的憑證 ID。(CVE-2022-34810)

 - Jenkins XPath Configuration Viewer Plugin 1.1.1 及更早版本中缺少權限檢查,具有「Overall/Read」權限的攻擊者可藉此存取 XPath Configuration Viewer 頁面。(CVE-2022-34811)

 - Jenkins XPath Configuration Viewer Plugin 1.1.1 及更早版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可藉此建立和刪除 XPath 表達式。(CVE-2022-34812)

 - Jenkins XPath Configuration Viewer Plugin 1.1.1 及更早版本中缺少權限檢查,具有「Overall/Read」權限的攻擊者可藉此建立和刪除 XPath 表達式。(CVE-2022-34813)

 - Jenkins Request Rename Or Delete Plugin 1.1.0 及更早版本未正確執行 HTTP 端點中的權限檢查,具有「Overall/Read」權限的攻擊者可藉此檢視列出擱置要求的系統管理組態頁面。(CVE-2022-34814)

 - Jenkins Request Rename Or Delete Plugin 1.1.0 及更早版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可藉此接受擱置的要求,進而重新命名或刪除工作。(CVE-2022-34815)

 - Jenkins HPE Network Virtualization Plugin 1.0 及更早版本會將未加密的密碼儲存在 Jenkins 控制器的全域組態檔中,而具有 Jenkins 控制器檔案系統存取權的使用者可以檢視這些密碼。(CVE-2022-34816)

 - Jenkins Failed Job Deactivator Plugin 1.2.1 及更早版本中存在跨網站要求偽造 (CSRF) 弱點,攻擊者可藉此停用工作。(CVE-2022-34817)

 - Jenkins Failed Job Deactivator Plugin 1.2.1 及更早版本未在數個檢視和 HTTP 端點中執行權限檢查,具有「Overall/Read」權限的攻擊者可藉此停用工作。
 (CVE-2022-34818)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

將 Jenkins 外掛程式升級至下列版本:
 - Build Notifications Plugin:請參閱廠商公告
 - build-metrics Plugin:請參閱廠商公告
 - Cisco Spark Plugin:請參閱廠商公告
 - Deployment Dashboard Plugin:請參閱廠商公告
 - Elasticsearch Query Plugin:請參閱廠商公告
 - eXtreme Feedback Panel Plugin:請參閱廠商公告
 - Failed Job Deactivator Plugin:請參閱廠商公告
 - 將 GitLab 外掛程式升級至 1.5.35 版或更新版本
 - hpe-network-virtualization Plugin:請參閱廠商公告
 - Jigomerge Plugin:請參閱廠商公告
 - Matrix Reloaded Plugin:請參閱廠商公告
 - OpsGenie Plugin:請參閱廠商公告
 - Plot Plugin:請參閱廠商公告
 - Project Inheritance Plugin:請參閱廠商公告
 - Recipe Plugin:請參閱廠商公告
 - Request Rename Or Delete Plugin:請參閱廠商公告
 - requests-plugin Plugin 升級為 2.2.17 或更新版本
 - Rich Text Publisher Plugin:請參閱廠商公告
 - RocketChat Notifier Plugin:請參閱廠商公告
 - RQM Plugin:請參閱廠商公告
 - Skype notifier Plugin:請參閱廠商公告
 - TestNG Results Plugin 升級為 555.va0d5f66521e3 或更新版本
 - Validating Email Parameter Plugin:請參閱廠商公告
 - XebiaLabs XL Release Plugin 升級為 22.0.1 或更新版本
 - XPath Configuration Viewer Plugin:請參閱廠商公告

請參閱供應商公告以取得詳細資料。

另請參閱

https://jenkins.io/security/advisory/2022-06-30

Plugin 詳細資訊

嚴重性: High

ID: 179363

檔案名稱: jenkins_security_advisory_2022-06-30_plugins.nasl

版本: 1.1

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2023/8/4

已更新: 2023/8/7

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.5

時間分數: 4.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2022-34793

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/6/30

弱點發布日期: 2022/6/30

參考資訊

CVE: CVE-2022-34777, CVE-2022-34778, CVE-2022-34779, CVE-2022-34780, CVE-2022-34781, CVE-2022-34782, CVE-2022-34783, CVE-2022-34784, CVE-2022-34785, CVE-2022-34786, CVE-2022-34787, CVE-2022-34788, CVE-2022-34789, CVE-2022-34790, CVE-2022-34791, CVE-2022-34792, CVE-2022-34793, CVE-2022-34794, CVE-2022-34795, CVE-2022-34796, CVE-2022-34797, CVE-2022-34798, CVE-2022-34799, CVE-2022-34800, CVE-2022-34801, CVE-2022-34802, CVE-2022-34803, CVE-2022-34804, CVE-2022-34805, CVE-2022-34806, CVE-2022-34807, CVE-2022-34808, CVE-2022-34809, CVE-2022-34810, CVE-2022-34811, CVE-2022-34812, CVE-2022-34813, CVE-2022-34814, CVE-2022-34815, CVE-2022-34816, CVE-2022-34817, CVE-2022-34818