Jenkins plugins 多個弱點 (2024-11-27)

high Nessus Plugin ID 211917

概要

遠端 Web 伺服器上執行的應用程式受到多個弱點的影響

說明

根據其自我報告的版本號碼,遠端 Web 伺服器上執行的 Jenkins plugin 版本受到多個弱點影響:

- 3.1.0 之前的 JSON-lib 中的 util/JSONTokener.java 未正確處理不平衡的註解字串。 (CVE-2024-47855)

- Jenkins Simple Queue Plugin 1.4.4 及更早版本不會逸出檢視名稱,因而會導致具有「View/Create」權限的攻擊者可利用的儲存型跨網站指令碼 (XSS) 弱點。(CVE-2024-54003)

- Jenkins Filesystem List Parameter Plugin 0.0.14 和更舊版本未限制用於檔案系統物件清單參數的路徑,進而允許具有項目/組態權限的攻擊者可列舉 Jenkins 控制器檔案系統上的檔案名稱。(CVE-2024-54004)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Jenkins plugin 升級至下列版本:
- Filesystem List Parameter Plugin 0.0.15 版或更新版本
- Simple Queue Plugin 1.4.5 版或更新版本

請參閱供應商公告以取得詳細資料。

另請參閱

https://jenkins.io/security/advisory/2024-11-27

Plugin 詳細資訊

嚴重性: High

ID: 211917

檔案名稱: jenkins_security_advisory_2024-11-27_plugins.nasl

版本: 1.2

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2024/11/27

已更新: 2024/11/28

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

Enable CGI Scanning: true

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9

時間性分數: 6.7

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-54003

CVSS v3

風險因素: High

基本分數: 8

時間性分數: 7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins

必要的 KB 項目: installed_sw/Jenkins

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/11/27

弱點發布日期: 2024/10/4

參考資訊

CVE: CVE-2024-47855, CVE-2024-54003, CVE-2024-54004