检测

Jenkins 插件多个漏洞(2022 年 11 月 15 日)

critical Nessus 插件 ID 179362

语言:

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

 - Jenkins 脚本安全插件 1189.vb_a_b_7c8fd5fde 和更早版本将整个脚本的批准存储为脚本的 SHA-1 哈希值,从而使其容易受到碰撞攻击。(CVE-2022-45379)

 - Jenkins JUnit 插件 1159.v0b_396e1e07dd 和更早版本以不安全的方式将测试报告输出中的 HTTP(S) URL 转换为可点击的链接,从而导致具有“项目/配置”权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。(CVE-2022-45380)

 - Apache Commons Configuration 执行变量插值,允许动态评估和扩展属性。插值的标准格式为 ${prefix: name},其中 prefix 用于定位执行插值的 org.apache.commons.configuration2.interpol.Lookup 的实例。从版本 2.4 到版本 2.7,默认查找实例集包含可导致任意代码执行或与远程服务器联系的插值器。这些查找是:- 脚本 - 使用 JVM 脚本执行引擎 (javax.script) 执行表达式 - dns
 - 解析 dns 记录 - url - 从 url 加载值,包括从远程服务器加载值。如果使用了不受信任的配置值,使用受影响版本中的插值默认值的应用程序可能容易受到远程代码执行或无意联系的影响。建议用户升级到 Apache Commons Configuration 2.8.0 版本,其默认禁用有问题的插值器。(CVE-2022-33980)

 - Jenkins Pipeline Utility Steps 插件 2.13.1 和更早版本不会限制启用的前缀插值器集合,并且捆绑了 Apache Commons Configuration 库的版本,该库默认启用了“file:”前缀插值器,这使得攻击者能够配置管道来读取 Jenkins 控制器文件系统中的任意文件。(CVE-2022-45381)

 - Jenkins Naginator 插件 1.18.1 及更早版本不会转义通过重试操作触发的构建中源构建的显示名称,从而导致存在存储型跨站脚本 (XSS) 漏洞,攻击者可利用此漏洞编辑构建的显示名称。(CVE-2022-45382)

 - Jenkins Support Core 插件 1206.v14049fa_b_d860 和较早版本中的错误权限检查允许具有“支持/下载捆绑文件”权限的攻击者下载之前创建的支持包,其中包含仅限具有“全局/管理员”权限的用户可访问的信息。(CVE-2022-45383)

 - Jenkins Reverse Proxy Auth 插件 1.7.3 及更早版本会将未加密的 LDAP 管理器密码存储在 Jenkins 控制器上的全局 config.xml 文件中,因此拥有 Jenkins 控制器文件系统访问权限的用户可查看此密码。(CVE-2022-45384)

 - Jenkins CloudBees Docker Hub/Registry Notification 插件 2.6.2 及更早版本中存在缺少权限检查漏洞,该漏洞允许未经身份验证的攻击者触发与攻击者指定的存储库相对应的作业版本。(CVE-2022-45385)

 - Jenkins NS-ND Integration Performance Publisher 插件 4.8.0.143 及更早版本会将未加密的密码存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有“扩展读取”权限或 Jenkins 控制器文件系统访问权限的攻击者可查看这些密码。(CVE-2022-45392)

 - Jenkins NS-ND Integration Performance Publisher 插件 4.8.0.143 及更早版本无条件且在全局禁用整个 Jenkins 控制器 JVM 的 SSL/TLS 证书和主机名验证。
 (CVE-2022-45391)

 - Jenkins NS-ND Integration Performance Publisher 插件 4.8.0.146 及更早版本无条件禁用多个功能的 SSL/TLS 证书和主机名验证。(CVE-2022-38666)

 - Jenkins Violations 插件 0.7.11 及更早版本未配置其 XML 解析器以阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-45386)

 - Jenkins BART 插件 1.0.3 和更早版本在 Jenkins UI 上渲染构建日志的解析内容之前不会转义该内容,从而导致出现存储型跨站脚本 (XSS) 漏洞。(CVE-2022-45387)

 - Jenkins Config Rotator 插件 2.0.1 及更低版本未限制 HTTP 端点中的文件名查询参数,未经身份验证的攻击者可以读取 Jenkins 控制器文件系统上带有“.xml”扩展名的任意文件。(CVE-2022-45388)

 - Jenkins XP-Dev 插件 1.0 及更早版本中存在缺少权限检查漏洞,该漏洞允许未经身份验证的攻击者触发与攻击者指定的存储库相对应的作业版本。(CVE-2022-45389)

 - Jenkins loader.io 插件 1.0.1 及更早版本中存在缺少权限检查漏洞,因此具有“Overall/Read”权限的攻击者可枚举 Jenkins 中所存储凭据的凭据 ID。(CVE-2022-45390)

 - Jenkins Delete log 插件 1.0 及更低版本中存在一个跨站脚本伪造 (CSRF) 漏洞,允许攻击者删除构建日志。(CVE-2022-45393)

 - Jenkins Delete log 插件 1.0 及更早版本中缺少权限检查,允许具有“项目/读取”权限的攻击者删除构建日志。(CVE-2022-45394)

 - Jenkins CCCC 插件 0.6 及更早版本未配置其 XML 解析器以阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-45395)

 - Jenkins SourceMonitor 插件 0.2 及更早版本未配置其 XML 解析器以阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-45396)

 - Jenkins OSF Builder Suite:: - XML Linter 插件 1.0.2 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。(CVE-2022-45397)

 - Jenkins Cluster Statistics 插件 0.4.6 及更低版本中存在一个跨站脚本伪造 (CSRF) 漏洞,允许攻击者删除记录的 Jenkins 集群统计信息。(CVE-2022-45398)

 - Jenkins Cluster Statistics 插件 0.4.6 及更低版本中存在缺少权限检查漏洞,允许攻击者删除记录的 Jenkins 集群统计信息。(CVE-2022-45399)

 - Jenkins JAPEX 插件 1.7 及更早版本未配置其 XML 解析器以阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-45400)

 - Jenkins Associated Files 插件 0.2.1 及更早版本未对相关文件的名称转义,导致存在存储型跨站脚本 (XSS) 漏洞,具有“项目/配置”权限的攻击者可利用此漏洞。
 (CVE-2022-45401)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Jenkins 插件更新到以下版本:
 - Associated Files 插件:参见供应商公告
 - BART 插件:参见供应商公告
 - CCCC 插件:参见供应商公告
 - 将 CloudBees Docker Hub/Registry Notification 插件升级至版本 2.6.2.1 或更高版本
 - Cluster Statistics 插件:参见供应商公告
 - Config Rotator 插件:参见供应商公告
 - Delete log 插件:参见供应商公告
 - JAPEX 插件:参见供应商公告
 - 将 JUnit 插件升级至 1160.vf1f01a_a_ea_b_7f 或更高版本
 - loader.io 插件:参见供应商公告
 - 将 Naginator 插件升级至 1.18.2 或更高版本
 - NS-ND Integration Performance Publisher 插件:参见供应商公告
 - OSF Builder Suite:: XML Linter 插件:参见供应商公告
 - 将 Pipeline Utility Steps 插件升级至版本 2.13.2 或更高版本
 - 将 Reverse Proxy Auth 插件升级至 1.7.4 或更高版本
 - 将 Script Security 插件升级至 1190.v65867a_a_47126 或更高版本
 - SourceMonitor 插件:参见供应商公告
 - 将 Support Core 插件升级至 1206.1208.v9b_7a_1d48db_0f 或更高版本
 - Violations 插件:参见供应商公告
 - XP-Dev 插件:参见供应商公告

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2022-11-15

插件详情

严重性: Critical

ID: 179362

文件名: jenkins_security_advisory_2022-11-15_plugins.nasl

版本: 1.3

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2023/8/4

最近更新时间: 2024/10/3

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

Enable CGI Scanning: true

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.2

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2022-33980

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2022-45400

漏洞信息

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必需的 KB 项: installed_sw/Jenkins

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/11/15

漏洞发布日期: 2022/7/6

参考资料信息

CVE: CVE-2022-33980, CVE-2022-38666, CVE-2022-45379, CVE-2022-45380, CVE-2022-45381, CVE-2022-45382, CVE-2022-45383, CVE-2022-45384, CVE-2022-45385, CVE-2022-45386, CVE-2022-45387, CVE-2022-45388, CVE-2022-45389, CVE-2022-45390, CVE-2022-45391, CVE-2022-45392, CVE-2022-45393, CVE-2022-45394, CVE-2022-45395, CVE-2022-45396, CVE-2022-45397, CVE-2022-45398, CVE-2022-45399, CVE-2022-45400, CVE-2022-45401