Jenkins < 2.121 / < 2.107.3 (LTS) 多个漏洞
high Nessus 插件 ID 125734
语言:
简介
远程 Web 服务器托管受多个漏洞影响的作业排定和管理系统。描述
远程 Web 服务器托管的 Jenkins 版本低于 2.121,或为版本低于 2.107.3 的 Jenkins LTS。因此,该应用程序受到以下漏洞的影响:- Jenkins 的 AboutJenkins.java 和 ListPluginsCommand.java 类中存在信息泄露漏洞。未经身份验证的远程攻击者可恶意利用此漏洞泄露远程服务器上安装的插件 (CVE-2018-1000192)。
- 在 Jenkins 的 FilePath.java 和 SoloFilePathFilter.java 类别中存在目录遍历漏洞。未经验证的远程攻击者可利用此问题,通过发送包含目录遍历字符的 URI,泄露服务器受限路径外的文件内容 (CVE-2018-1000194)。
- Jenkins 的 ZipExtractionInstaller.java 类别中存在服务器端请求伪造 (SSRF) 漏洞。攻击者可恶意利用以强制 Jenkins 将 HTTP GET 请求发送至任意 URL,并收集响应代码内容 (CVE-2018-1000195)。
解决方案
升级 Jenkins 到 2.121 或更高版本。升级至 Jenkins LTS 2.107.3 版或更新版本另见
插件详情
严重性: High
ID: 125734
文件名: jenkins_2_121.nasl
版本: 1.5
类型: combined
代理: windows, macosx, unix
系列: CGI abuses
发布时间: 2019/6/5
最近更新时间: 2024/6/5
配置: 启用全面检查
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.2
CVSS v2
风险因素: Medium
基本分数: 5.5
时间分数: 4.1
矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N
CVSS 分数来源: CVE-2018-1000194
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.1
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:cloudbees:jenkins
必需的 KB 项: installed_sw/Jenkins
易利用性: No known exploits are available
补丁发布日期: 2018/5/7
漏洞发布日期: 2018/5/9
参考资料信息
CVE: CVE-2018-1000192, CVE-2018-1000193, CVE-2018-1000194, CVE-2018-1000195