Jenkins 插件 多个漏洞(2022 年 3 月 29 日)
high Nessus 插件 ID 159377
语言:
简介
远程 Web 服务器主机上运行的应用程序受到多个漏洞影响描述
根据其自我报告的版本号,远程 Web 服务器上运行的 Jenkins 插件版本为 Jenkins Bitbucket Server Integration Plugin 3.2.0 更低版本、Continuous Integration with Toad Edge Plugin 2.4 更低版本、Coverage/Complexity Scatter Plot Plugin 1.1.1 或更早版本、Flaky Test Handler Plugin 1.2.2 更低版本、JiraTestResultReporter Plugin 166. 更低版本、Job and Node ownership Plugin 0.13.0 或更早版本、Pipeline: Phoenix AutoTest Plugin 1.3 或更早版本、Proxmox Plugin 0.7.1 更低版本、RocketChat Notifier Plugin 1.5.0 更低版本、SiteMonitor Plugin 0.6 或更早版本、Tests Selector Plugin 1.3.3 或更早版本、Instant-messaging Plugin 1.42 更低版本。因此受到多个漏洞影响:- Jenkins Bitbucket Server Integration Plugin 3.1.0 及更早版本不会限制 OAuth 使用者回调 URL 的 URL 方案,从而导致攻击者可以通过创建 BitBucket Server 使用者利用存储型跨站脚本 (XSS) 漏洞。(CVE-2022-28133)
- Jenkins Bitbucket Server Integration Plugin 3.1.0 及更早版本不会在多个 HTTP 端点中执行权限检查,从而允许具有“全局/读取”权限的攻击者创建、查看和删除 BitBucket Server 使用者。(CVE-2022-28134)
- Jenkins 即时消息插件 1.41 及更早版本会将未加密的群聊信息存储在 Jenkins 控制器上基于 Jenkins 即时消息插件的全局配置文件中,因此具有 Jenkins 控制器文件系统访问权限的用户可查看这些密码。(CVE-2022-28135)
- Jenkins JiraTestResultReporter Plugin 165.v817928553942 及更早版本中存在一个跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其指定凭据连接到其指定的 URL。(CVE-2022-28136)
- Jenkins JiraTestResultReporter Plugin 165.v817928553942 及更早版本中存在一个缺少权限检查漏洞,该漏洞允许具有“全局/读取”权限的攻击者使用其指定凭据连接到其指定的 URL。(CVE-2022-28137)
- Jenkins RocketChat Notifier Plugin 1.4.10 及更早版本中存在一个跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其指定凭据连接到其指定的 URL。
(CVE-2022-28138)
- Jenkins RocketChat Notifier Plugin 1.4.10 及更早版本中存在一个缺少权限检查漏洞,该漏洞允许具有“全局/读取”权限的攻击者使用其指定的凭据连接到其指定的 URL。
(CVE-2022-28139)
- Jenkins Flaky Test Handler Plugin 1.2.1 及更早版本不会将其 XML 解析器配置为阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-28140)
- Jenkins Proxmox Plugin 0.5.0 及更早版本会将未加密的密码存储在 Jenkins 控制器上的全局 config.xml 文件中,因此拥有 Jenkins 控制器文件系统访问权限的用户可查看此密码。(CVE-2022-28141)
- 在 Jenkins Proxmox Plugin 0.6.0 及更早版本中,若将其配置为忽略 SSL/TLS 问题,则将全局禁用 Jenkins 控制器 JVM 的 SSL/TLS 证书验证。(CVE-2022-28142)
- Jenkins Proxmox Plugin 0.7.0 及更早版本中存在一个跨站请求伪造 (CSRF) 漏洞,允许攻击者使用其指定的用户名和密码连接到其指定的主机(执行连接测试)、在连接测试期间全局禁用对 Jenkins 控制器 JVM 的 SSL/TLS 验证(参见 CVE-2022-28142),并使用攻击者指定的参数测试回滚。
(CVE-2022-28143)
- Jenkins Proxmox Plugin 0.7.0 及更早版本不会为少数 HTTP 端点执行权限检查,从而允许具有“全局/读取”权限的攻击者使用其指定的用户名和密码连接到其指定的主机(执行连接测试)、在连接测试期间全局禁用对 Jenkins 控制器 JVM 的 SSL/TLS 验证(参见 CVE-2022-28142),并使用攻击者指定的参数测试回滚。(CVE-2022-28144)
- Jenkins Continuous Integration with Toad Edge Plugin 2.3 及更早版本不会将 Content-Security-Policy 标头应用到其提供的报告文件,从而导致具有“项目/配置”权限或能够以其他方式控制报告内容的攻击者利用存储型跨站脚本 (XSS) 漏洞。(CVE-2022-28145)
- Jenkins Continuous Integration with Toad Edge Plugin 2.3 及更早版本允许具有“项目/配置”权限的攻击者通过将 Jenkins 控制器上的输入文件夹指定为其构建步骤的参数来读取 Jenkins 控制器上的任意文件。(CVE-2022-28146)
- Jenkins Continuous Integration with Toad Edge Plugin 2.3 及更早版本中缺少权限检查,从而允许具有“整体/读取”权限的攻击者检查 Jenkins 控制器文件系统上是否存在攻击者指定的文件路径。(CVE-2022-28147)
- Jenkins Continuous Integration with Toad Edge Plugin 2.3 及更早版本中的文件浏览器可能会将某些文件路径解释为 Windows 上的绝对路径,从而导致出现路径遍历漏洞,而该漏洞允许具有“整体/读取”权限的攻击者获取任意文件中的内容。
(CVE-2022-28148)
- Jenkins Job and Node ownership Plugin 0.13.0 及更早版本不会转义辅助所有者的名称,从而导致具有“项目/配置”权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。(CVE-2022-28149)
- Jenkins Job and Node ownership Plugin 0.13.0 及更早版本中存在一个跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者更改作业的所有者和项目特定权限。(CVE-2022-28150)
- Jenkins Job and Node ownership Plugin 0.13.0 及更早版本中缺少权限检查,从而允许具有“项目/读取”权限的攻击者更改作业的所有者和项目特定权限。(CVE-2022-28151)
- Jenkins Job and Node ownership Plugin 0.13.0 及更早版本中存在一个跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者恢复作业的默认所有权。(CVE-2022-28152)
- Jenkins SiteMonitor Plugin 0.6 及更早版本不会转义提示中指向监视器的网站 URL,从而导致具有“项目/配置”权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。(CVE-2022-28153)
- Jenkins Coverage/Complexity Scatter Plot Plugin 1.1.1 及更早版本不会将其 XML 解析器配置为阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-28154)
- Jenkins 管道:Phoenix AutoTest Plugin 1.3 及更早版本不会将其 XML 解析器配置为阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-28155)
- Jenkins 管道:Phoenix AutoTest Plugin 1.3 及更早版本允许具有“项目/配置”权限的攻击者将任意文件和目录从 Jenkins 控制器复制到代理工作区。
(CVE-2022-28156)
- Jenkins 管道:Phoenix AutoTest Plugin 1.3 及更早版本允许具有“项目/配置”权限的攻击者通过 FTP 将任意文件从 Jenkins 控制器上传到攻击者指定的 FTP 服务器。
(CVE-2022-28157)
- Jenkins Pipeline: Phoenix AutoTest Plugin 1.3 及更早版本缺少权限检查,从而允许具有“全局/读取”权限的攻击者枚举存储在 Jenkins 中凭据的凭据 ID。
(CVE-2022-28158)
- Jenkins Tests Selector Plugin 1.3.3 及更早版本不会转义“选择测试”参数的“属性文件路径”选项,导致具有“项目/配置”权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。(CVE-2022-28159)
- Jenkins Tests Selector Plugin 1.3.3 及更早版本允许具有“项目/配置”权限的用户读取 Jenkins 控制器上的任意文件。(CVE-2022-28160)
请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。
解决方案
将 Instant-messaging Plugin 升级到 1.42 或更高版本;将 RocketChat Notifier Plugin 升级到 1.5.0 或更高版本;将 Proxmox Plugin 升级到 0.7.1 或更高版本;将 JiraTestResultReporter Plugin 升级到 166. 或更高版本;将 Flaky Test Handler Plugin 升级到 1.2.2 或更高版本;将 Continuous Integration with Toad Edge Plugin 升级到 2.4 或更高版本;将 Bitbucket Server Integration Plugin 升级到 3.2.0 或更高版本另见
插件详情
严重性: High
ID: 159377
文件名: jenkins_security_advisory_2022-03-29_plugins.nasl
版本: 1.6
类型: combined
代理: windows, macosx, unix
系列: CGI abuses
发布时间: 2022/3/31
最近更新时间: 2023/7/28
配置: 启用全面检查
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2022-28150
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins
必需的 KB 项: installed_sw/Jenkins
易利用性: No known exploits are available
补丁发布日期: 2022/3/29
漏洞发布日期: 2022/3/29
参考资料信息
CVE: CVE-2022-28133, CVE-2022-28134, CVE-2022-28135, CVE-2022-28136, CVE-2022-28137, CVE-2022-28138, CVE-2022-28139, CVE-2022-28140, CVE-2022-28141, CVE-2022-28142, CVE-2022-28143, CVE-2022-28144, CVE-2022-28145, CVE-2022-28146, CVE-2022-28147, CVE-2022-28148, CVE-2022-28149, CVE-2022-28150, CVE-2022-28151, CVE-2022-28152, CVE-2022-28153, CVE-2022-28154, CVE-2022-28155, CVE-2022-28156, CVE-2022-28157, CVE-2022-28158, CVE-2022-28159, CVE-2022-28160