Jenkins Security Advisory reports :

This advisory announces multiple security vulnerabilities that were found in Jenkins core.

- SECURITY-63 / CVE-2013-2034

This creates a cross-site request forgery (CSRF) vulnerability on Jenkins master, where an anonymous attacker can trick an administrator to execute arbitrary code on Jenkins master by having him open a specifically crafted attack URL.

There's also a related vulnerability where the permission check on this ability is done imprecisely, which may affect those who are running Jenkins instances with a custom authorization strategy plugin.

- SECURITY-67 / CVE-2013-2033

This creates a cross-site scripting (XSS) vulnerability, where an attacker with a valid user account on Jenkins can execute JavaScript in the browser of other users, if those users are using certain browsers.

- SECURITY-69 / CVE-2013-2034

This is another CSRF vulnerability that allows an attacker to cause a deployment of binaries to Maven repositories. This vulnerability has the same CVE ID as SEUCRITY-63.

- SECURITY-71 / CVE-2013-1808

This creates a cross-site scripting (XSS) vulnerability.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - Cross-site scripting (XSS) vulnerability in ZeroClipboard.swf and ZeroClipboard10.swf in ZeroClipboard     before 1.0.8, as used in em-shorty, RepRapCalculator, Fulcrum, Django, aCMS, and other products, allows     remote attackers to inject arbitrary web script or HTML via the id parameter. NOTE: this is might be the     same vulnerability as CVE-2013-1463. If so, it is likely that CVE-2013-1463 will be REJECTed.
    (CVE-2013-1808)

Note that Nessus relies on the presence of the package as reported by the vendor.

The remote web server hosts a version of Jenkins or Jenkins Enterprise that is affected by multiple vulnerabilities :

  - The included component 'ZeroClipboard' contains an     error in the file 'ZeroClipboard10.swf' that could     allow cross-site scripting attacks.
    (CVE-2013-1808)

  - An unspecified cross-site scripting error exists.
    (CVE-2013-2033)

  - Multiple errors exist that could lead to cross-site     request forgery attacks, thus allowing an attacker to     trick an administrator into executing arbitrary code.
    (CVE-2013-2034)

Jenkins 安全性公告報告：

此公告宣布在 Jenkins 核心中所發現的多個安全性弱點。

- SECURITY-63 / CVE-2013-2034

這會在 Jenkins 主機上建立一個跨網站要求偽造 (CSRF) 弱點，在此情況下，匿名攻擊者可誘騙系統管理員開啟特製的攻擊 URL，以在 Jenkins 主機上執行任意程式碼。

還有一個相關弱點，在此情況下，對此功能的權限檢查不嚴密，進而可能影響以自訂授權策略外掛程式執行 Jenkins 執行個體的人員。

- SECURITY-67 / CVE-2013-2033

這會建立一個跨網站指令碼 (XSS) 弱點，在此情況下，在 Jenkins 上具有有效使用者帳戶的攻擊者可在其他使用者 (若這些使用者使用特定瀏覽器) 的瀏覽器中執行 JavaScript。

- SECURITY-69 / CVE-2013-2034

還有一個 CSRF 弱點，其允許攻擊者造成將二進位部署至 Maven 存放庫。此弱點與 SEUCRITY-63 擁有相同的 CVE ID。

- SECURITY-71 / CVE-2013-1808

這會建立一個跨網站指令碼 (XSS) 弱點。

Jenkins セキュリティアドバイザリによる報告：

このアドバイザリでは、Jenkins コアに見つかっている複数のセキュリティ上の脆弱性を発表しています。

- SECURITY-63 / CVE-2013-2034

これは、クロスサイトリクエスト偽造（CSRF）の脆弱性を Jenkins マスターで発生させます。匿名の攻撃者が、管理者を騙して、特別に細工された攻撃 URL にアクセスさせることにより、Jenkins マスターで任意のコードを実行させる可能性があります。

また、この機能の権限チェックが不適切に行われる関連する脆弱性も存在します。これは、Jenkins インスタンスをカスタム承認戦略プラグインで実行しているユーザーに影響を与える可能性があります。

- SECURITY-67 / CVE-2013-2033

これによりクロスサイトスクリプティング（XSS）脆弱性が発生し、Jenkins の有効ユーザーアカウントを保有する攻撃者が、他のユーザーが特定のブラウザを使用している場合に、これらのユーザーのブラウザで JavaScript を実行する可能性があります。

- SECURITY-69 / CVE-2013-2034

これは別の CSRF の脆弱性で、これにより攻撃者がバイナリを Maven リポジトリに配備する可能性があります。この脆弱性は、SEUCRITY-63 と同じ CVE ID です。

- SECURITY-71 / CVE-2013-1808

これはクロスサイトスクリプティング（XSS）の脆弱性を発生させます。

Jenkins 安全公告报告：

此公告宣布在 Jenkins 核心中发现的多种安全漏洞。

- SECURITY-63 / CVE-2013-2034

这造成 Jenkins 主控端上的一个跨站请求伪造 (CSRF) 漏洞，即，匿名攻击者可通过使管理员打开特别构建的攻击 URL 来诱骗其在 Jenkins 主控端上执行任意代码。

还存在一个相关漏洞，即，未精确执行对此功能的权限检查，这可能影响运行具有自定义授权策略插件的 Jenkins 实例的用户。

- SECURITY-67 / CVE-2013-2033

这造成一个跨站脚本 (XSS) 漏洞，即，其他用户使用某些浏览器时，拥有 Jenkins 主控端上的有效用户帐户的攻击者可在这些用户的浏览器中执行 JavaScript。

- SECURITY-69 / CVE-2013-2034

这是另一个 CSRF 漏洞，允许攻击者造成将二进制部署到 Maven 存储库。此漏洞具有与 SEUCRITY-63 相同的 CVE ID。

- SECURITY-71 / CVE-2013-1808

这造成一个跨站脚本 (XSS) 漏洞。

リモート Web サーバーは、複数の脆弱性の影響を受けるバージョンの Jenkins または Jenkins Enterprise をホストします。

  - 付属のコンポーネント「ZeroClipboard」に、ファイル「ZeroClipboard10.swf」のエラーがあるため、クロスサイトスクリプティング攻撃が引き起こされる可能性があります。
    （CVE-2013-1808）

  - 詳細不明なクロスサイトスクリプティングのエラーが存在します。
    （CVE-2013-2033）

  - クロスサイトリクエスト偽造攻撃を引き起こす可能性がある複数のエラーが存在するため、攻撃者が、管理者を騙して任意のコードを実行させる可能性があります。
    （CVE-2013-2034）

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - em-shorty、RepRapCalculator、Fulcrum、Django、aCMS、およびその他の製品で使用されている 1.0.8以前の ZeroClipboard の ZeroClipboard.swf および ZeroClipboard10.swf のクロスサイトスクリプティング（XSS）の脆弱性により、リモートの攻撃者が、任意の Web スクリプトを注入する可能性があります。または id パラメーターを介して HTML。注：これはと同じ脆弱性である可能性があります CVE-2013-1463。その場合、 CVE-2013-1463 は REJECT される可能性があります。
    (CVE-2013-1808)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 1.0.8之前的 ZeroClipboard 中，ZeroClipboard.swf 和 ZeroClipboard10.swf 中的跨網站指令碼 (XSS) 弱點在 em-shorty、RepRapCalculator、Fulcrum、Django、aCMS 及其他產品中使用時，會允許遠端攻擊者插入任意 Web 指令碼或透過 id 參數的 HTML。注意：這可能是與 CVE-2013-1463相同的弱點。若是如此， CVE-2013-1463 很可能會遭到拒絕。
    (CVE-2013-1808)

請注意，Nessus 依賴供應商報告的套件存在。

遠端網頁伺服器主控受到多個弱點影響的一個 Jenkins 或 Jenkins Enterprise 版本：

  - 隨附的元件「ZeroClipboard」在檔案「ZeroClipboard10.swf」中有一個錯誤，可能允許跨網站指令碼攻擊。
    (CVE-2013-1808)

  - 存在一個不明的跨網站指令碼錯誤。
    (CVE-2013-2033)

  - 存在多個錯誤，可能造成跨網站要求偽造攻擊，進而允許攻擊者誘騙系統管理員執行任意程式碼。
    (CVE-2013-2034)

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 1.0.8之前的 ZeroClipboard 的 ZeroClipboard.swf 和 ZeroClipboard10.swf 中存在跨站脚本 (XSS) 漏洞，用于 em-shorty、RepRapCalculator、Fulcrum、Django、aCMS 和其他产品中，允许远程攻击者注入任意 Web 脚本或 HTML（通过 id 参数）。注意：这可能是与 CVE-2013-1463相同的漏洞。如果是这样，则 CVE-2013-1463 可能会遭到拒绝。
    (CVE-2013-1808)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Web 服务器托管受多种漏洞影响的 Jenkins 或 Jenkins Enterprise 版本：

  - 包含的“ZeroClipboard”组件中的文件“ZeroClipboard10.swf”内有一个错误，可允许跨站脚本攻击。
    (CVE-2013-1808)

  - 存在一个不明跨站脚本错误。
    (CVE-2013-2033)

  - 存在多种错误，可导致跨站请求伪造攻击，从而允许攻击者诱骗管理员执行任意代码。
    (CVE-2013-2034)

ID	名稱	產品	系列	已發布	已更新	嚴重性
66311	FreeBSD : jenkins -- multiple vulnerabilities (622e14b1-b40c-11e2-8441-00e0814cab4e)	Nessus	FreeBSD Local Security Checks	2013/5/4	2021/1/6	medium
217944	Linux Distros Unpatched Vulnerability : CVE-2013-1808	Nessus	Misc.	2025/3/4	2025/8/24	medium
66898	Jenkins < 1.514 / 1.509.1 and Jenkins Enterprise 1.466.x / 1.480.x < 1.466.14.1 / 1.480.4.1 Multiple Vulnerabilities	Nessus	CGI abuses	2013/6/14	2024/6/5	medium
66311	FreeBSD：jenkins -- 多個弱點 (622e14b1-b40c-11e2-8441-00e0814cab4e)	Nessus	FreeBSD Local Security Checks	2013/5/4	2021/1/6	medium
66311	FreeBSD：jenkins -- 複数の脆弱性（622e14b1-b40c-11e2-8441-00e0814cab4e）	Nessus	FreeBSD Local Security Checks	2013/5/4	2021/1/6	medium
66311	FreeBSD：jenkins -- 多种漏洞 (622e14b1-b40c-11e2-8441-00e0814cab4e)	Nessus	FreeBSD Local Security Checks	2013/5/4	2021/1/6	medium
66898	Jenkins < 1.514/1.509.1 と Jenkins Enterprise 1.466.x/1.480.x < 1.466.14.1/1.480.4.1 複数の脆弱性	Nessus	CGI abuses	2013/6/14	2024/6/5	medium
217944	Linux Distros のパッチ未適用の脆弱性: CVE-2013-1808	Nessus	Misc.	2025/3/4	2025/8/24	medium
217944	Linux Distros 未修補弱點：CVE-2013-1808	Nessus	Misc.	2025/3/4	2025/8/24	medium
66898	Jenkins < 1.514 / 1.509.1 和 Jenkins Enterprise 1.466.x / 1.480.x < 1.466.14.1 / 1.480.4.1 多個弱點	Nessus	CGI abuses	2013/6/14	2024/6/5	medium
217944	Linux Distros 未修补的漏洞: CVE-2013-1808	Nessus	Misc.	2025/3/4	2025/8/24	medium
66898	Jenkins < 1.514 / 1.509.1 和 Jenkins Enterprise 1.466.x / 1.480.x < 1.466.14.1 / 1.480.4.1 多种漏洞	Nessus	CGI abuses	2013/6/14	2024/6/5	medium

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium