Jenkins 插件多个漏洞(2022 年 9 月 21 日)

critical Nessus 插件 ID 165767

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

- Jenkins 2.367 至 2.369 版本(两者均含)未对 l 的工具提示进行转义:Jenkins Web UI 上的某些帮助图标使用了 helpIcon UI 组件,从而导致攻击者可利用存储的跨站脚本 (XSS) 漏洞来控制此组件的工具提示。(CVE-2022-41224)

- Jenkins Anchore Container Image Scanner 插件 1.0.24 及更早版本未对 Anchore 引擎 API 提供的内容进行转义,从而导致攻击者可利用存储的跨站脚本 (XSS) 漏洞以通过 Anchore 引擎控制 API 响应。(CVE-2022-41225)

- Jenkins Compuware Common Configuration 插件 1.0.14 及更早版本未配置其 XML 解析器以阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-41226)

- Jenkins NS-ND Integration Performance Publisher 插件 4.8.0.129 及更低版本中存在一个跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其指定的凭据连接到其指定的 web 服务器。(CVE-2022-41227)

- Jenkins NS-ND Integration Performance Publisher 插件 4.8.0.129 及更早版本中存在一个缺少权限检查漏洞,该漏洞允许具有“全局/读取”权限的攻击者使用其指定的凭据连接到其指定的 web 服务器。(CVE-2022-41228)

- Jenkins NS-ND Integration Performance Publisher 插件 4.8.0.134 及更早版本未对 Execute NetStorm/NetCloud Test 构建步骤的配置选项进行转义,从而导致具有“项目/配置”权限的攻击者可利用存储的跨站脚本 (XSS) 漏洞。(CVE-2022-41229)

- Jenkins Build-Publisher 插件 1.22 及更早版本不在 HTTP 端点中执行权限检查,该漏洞允许具有“全局/读取”权限的攻击者获取插件配置为将构建发布到和构建待发布到 Jenkins 服务器的 Jenkins 服务器的名称和 URL。(CVE-2022-41230)

- Jenkins Build-Publisher 插件 1.22 及更早版本允许具有“项目/配置”权限的攻击者通过向 API 端点提供构建的文件名来创建或替换 Jenkins 控制器文件系统上的任何 config.xml 文件。(CVE-2022-41231)

- Jenkins Build-Publisher 插件 1.22 及更早版本存在跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者通过向 API 端点提供构建的文件名从而将 Jenkins 控制器文件系统上的任何 config.xml 文件替换为空文件。(CVE-2022-41232)

- Jenkins Rundeck 插件 3.6.11 及更早版本不在多个 HTTP 端点中执行“运行/构件”权限检查,如果启用了可选的“运行/构件”权限,则允许具有“项目/读取”权限的攻击者获取有关给定作业的构建构件的信息。(CVE-2022-41233)

- Jenkins Rundeck 插件 3.6.11 及更早版本未保护对 /plugin/rundeck/webhook/ 端点的访问,从而允许具有“全局/读取”权限的用户触发配置为可通过 Rundeck 触发的作业。(CVE-2022-41234)

- Jenkins WildFly Deployer 插件 1.0.2 及更早版本实施的功能允许代理进程读取 Jenkins 控制器文件系统上的任意文件。 (CVE-2022-41235)

- Jenkins Security Inspector 插件 117.v6eecc36919c2 及更早版本存在跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用基于攻击者指定的报告生成选项的报告替换存储在每个会话缓存中并在“.../报告 URL”处向授权用户显示的生成报告。(CVE-2022-41236)

- Jenkins DotCi 插件 2.40.00 及更早版本未配置其 YAML 解析器以防止任意类型的实例化,从而导致远程代码执行漏洞。(CVE-2022-41237)

- Jenkins DotCi 插件 2.40.00 及更早版本中存在缺少权限检查漏洞,该漏洞允许未经身份验证的攻击者针对攻击者指定的提交触发与攻击者指定的存储库相对应的作业版本。
(CVE-2022-41238)

- Jenkins DotCi 插件 2.40.00 及更早版本在生成原因中显示提供给提交通知的 GitHub 用户名参数时,不会对其进行转义,从而导致存储型跨站脚本 (XSS) 漏洞。(CVE-2022-41239)

- Jenkins Walti 插件 1.0.1 及更早版本未对 Walti API 提供的信息进行转义,从而导致攻击者可利用存储的跨站脚本 (XSS) 漏洞以从 Walti 提供恶意 API 响应。(CVE-2022-41240)

- Jenkins RQM 插件 2.8 及更早版本未配置其 XML 解析器以阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-41241)

- Jenkinsextreme-feedback 插件 1.7 及更早版本中存在缺少权限检查漏洞,该漏洞允许具有“全局/读取”权限的攻击者发现有关附加到灯的作业名称的信息、发现现有灯的 MAC 和 IP 地址,并重命名灯。(CVE-2022-41242)

- Jenkins SmallTest 插件 1.0.4 及更早版本在连接到可遭到滥用中间人攻击以拦截这些连接的已配置 View26 服务器时,不执行主机名验证。(CVE-2022-41243)

- Jenkins View26 Test-Reporting 插件 1.0.7 及更早版本在连接到可遭到滥用中间人攻击以拦截这些连接的已配置 View26 服务器时,不执行主机名验证。(CVE-2022-41244)

- Jenkins Worksoft Execution Manager 插件 10.0.3.503 及更早版本中存在跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 URL,从而捕获存储在 Jenkins 中的凭据。(CVE-2022-41245)

- Jenkins Worksoft Execution Manager 插件 10.0.3.503 及更早版本中存在缺少权限检查漏洞,具有“全局/读取”权限的攻击者可利用此漏洞,使用通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 URL,从而捕获 Jenkins 中存储的凭据。(CVE-2022-41246)

- Jenkins BigPanda Notifier 插件 1.4.0 及更早版本会将其全局配置文件中未加密的 BigPanda API 密钥存储在 Jenkins 控制器上,而拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密钥。(CVE-2022-41247)

- Jenkins BigPanda Notifier 插件 1.4.0 及更早版本未对全局配置表单上的 BigPanda API 密钥进行掩码,这增加了攻击者观察和捕获该密钥的可能性。(CVE-2022-41248)

- Jenkins SCM HttpClient 插件 1.5 及更早版本中存在跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 HTTP 服务器,从而捕获存储在 Jenkins 中的凭据。(CVE-2022-41249)

- Jenkins SCM HttpClient 插件 1.5 及更早版本中存在缺少权限检查漏洞,该漏洞允许具有“全局/读取”权限的攻击者使用其通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 HTTP 服务器,从而捕获 Jenkins 中存储的凭据。(CVE-2022-41250)

- Jenkins Apprenda 插件 2.2.0 及更早版本中存在缺少权限检查漏洞,因此具有“全局/读取”权限的攻击者可枚举存储在 Jenkins 中凭据的凭据 ID。(CVE-2022-41251)

- Jenkins CONS3RT 插件 1.0.0 及更早版本中存在缺少权限检查漏洞,因此具有“全局/读取”权限的攻击者可枚举存储在 Jenkins 中凭据的凭据 ID。(CVE-2022-41252)

- Jenkins CONS3RT 插件 1.0.0 及更早版本中存在跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 HTTP 服务器,从而捕获存储在 Jenkins 中的凭据。(CVE-2022-41253)

- Jenkins CONS3RT 插件 1.0.0 及更早版本中存在缺少权限检查漏洞,该漏洞允许具有“全局/读取”权限的攻击者使用其通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 HTTP 服务器,从而捕获 Jenkins 中存储的凭据。(CVE-2022-41254)

- Jenkins CONS3RT 插件 1.0.0 及更早版本会将未加密的 Cons3rt API 标记存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有 Jenkins 控制器文件系统访问权限的用户可查看这些标记。
(CVE-2022-41255)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Jenkins 插件更新到以下版本:
- Anchore Container Image Scanner 插件至 1.0.25 或更高版本
- Apprenda 插件:参见供应商公告
- BigPanda Notifier 插件:参见供应商公告
- build-publisher 插件:参见供应商公告
- Compuware Common Configuration 插件至 1.0.15 或更高版本
- CONS3RT 插件:参见供应商公告
- DotCi 插件:参见供应商公告
-extreme-feedback 插件:参见供应商公告
- NS-ND Integration Performance Publisher 插件:参见供应商公告
- RQM 插件:参见供应商公告
- Rundeck 插件:参见供应商公告
- SCM HttpClient 插件:参见供应商公告
- Security Inspector 插件:参见供应商公告
- SmallTest 插件:参见供应商公告
- View26 Test-Reporting 插件:参见供应商公告
- Walti 插件:参见供应商公告
- WildFly Deployer 插件:参见供应商公告
- Worksoft Execution Manager 插件:参见供应商公告

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2022-09-21

插件详情

严重性: Critical

ID: 165767

文件名: jenkins_security_advisory_2022-09-21_plugins.nasl

版本: 1.4

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2022/10/7

最近更新时间: 2023/7/28

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2022-41253

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2022-41238

漏洞信息

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必需的 KB 项: installed_sw/Jenkins

易利用性: No known exploits are available

补丁发布日期: 2022/9/21

漏洞发布日期: 2022/9/21

参考资料信息

CVE: CVE-2022-41224, CVE-2022-41225, CVE-2022-41226, CVE-2022-41227, CVE-2022-41228, CVE-2022-41229, CVE-2022-41230, CVE-2022-41231, CVE-2022-41232, CVE-2022-41233, CVE-2022-41234, CVE-2022-41235, CVE-2022-41236, CVE-2022-41237, CVE-2022-41238, CVE-2022-41239, CVE-2022-41240, CVE-2022-41241, CVE-2022-41242, CVE-2022-41243, CVE-2022-41244, CVE-2022-41245, CVE-2022-41246, CVE-2022-41247, CVE-2022-41248, CVE-2022-41249, CVE-2022-41250, CVE-2022-41251, CVE-2022-41252, CVE-2022-41253, CVE-2022-41254, CVE-2022-41255