Jenkins plugins 多個弱點 (2024-11-27)
high Nessus Plugin ID 211917
語言:
概要
遠端 Web 伺服器上執行的應用程式受到多個弱點的影響說明
根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins plugin 版本受到多個弱點影響:- 3.1.0 之前的 JSON-lib 中的 util/JSONTokener.java 未正確處理不平衡的註解字串。 (CVE-2024-47855)
- Jenkins Simple Queue Plugin 1.4.4 及更早版本不會逸出檢視名稱,因而會導致具有「View/Create」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2024-54003)
- Jenkins Filesystem List Parameter Plugin 0.0.14 和更舊版本未限制用於檔案系統物件清單參數的路徑,進而允許具有項目/組態權限的攻擊者可列舉 Jenkins 控制器檔案系統上的檔案名稱。(CVE-2024-54004)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
將 Jenkins plugin 升級至下列版本:- Filesystem List Parameter Plugin 0.0.15 版或更新版本
- Simple Queue Plugin 1.4.5 版或更新版本
請參閱供應商公告以取得詳細資料。
另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 211917
檔案名稱: jenkins_security_advisory_2024-11-27_plugins.nasl
版本: 1.2
類型: combined
代理程式: windows, macosx, unix
系列: CGI abuses
已發布: 2024/11/27
已更新: 2024/11/28
支援的感應器: Nessus Agent, Nessus
Enable CGI Scanning: true
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 9
時間性分數: 6.7
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2024-54003
CVSS v3
風險因素: High
基本分數: 8
時間性分數: 7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins
必要的 KB 項目: installed_sw/Jenkins
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2024/11/27
弱點發布日期: 2024/10/4