检测

Jenkins 插件多个漏洞(2022 年 6 月 30 日)

high Nessus 插件 ID 179363

语言:

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

 - Jenkins GitLab 插件 1.5.34 及更早版本不会转义插入到 webhook 触发的构建的描述中的多个字段,从而导致具有“Item/Configure”权限的攻击者可利用的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-34777)

 - 如果设置了某些作业级别选项,Jenkins TestNG Results 插件 554.va4a552116332 和更早版本会呈现测试结果中提供的非转义测试描述和异常消息,从而导致跨站脚本 (XSS) 漏洞可遭攻击者利用以配置作业或控制品检验结果。(CVE-2022-34778)

 - Jenkins XebiaLabs XL Release 插件 22.0.0 及更早版本中存在缺少权限检查漏洞,因此具有“Overall/Read”权限的攻击者可枚举 Jenkins 中所存储凭据的凭据 ID。(CVE-2022-34779)

 - Jenkins XebiaLabs XL Release 插件 22.0.0 及更早版本中存在跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 HTTP 服务器,从而捕获存储在 Jenkins 中的凭据。(CVE-2022-34780)

 - Jenkins XebiaLabs XL Release 插件 22.0.0 及更早版本中存在缺少权限检查漏洞,该漏洞允许具有“全局/读取”权限的攻击者使用其通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 HTTP 服务器,从而捕获 Jenkins 中存储的凭据。(CVE-2022-34781)

 - Jenkins requests-plugin 插件 2.2.16 和更早版本中的不正确权限检查允许允许具有“整体/读取”权限的攻击者查看待定请求列表。(CVE-2022-34782)

 - Jenkins Plot 插件 2.1.10 及更早版本未对 plot 描述转义,导致存在存储型跨站脚本 (XSS) 漏洞,具有“项目/配置”权限的攻击者可利用此漏洞。(CVE-2022-34783)

 - Jenkins build-metrics 插件 1.3 版未转义其视图之一的构建描述,导致存在存储型跨站脚本 (XSS) 漏洞,具有“构建/更新”权限的攻击者可利用此漏洞。
 (CVE-2022-34784)

 - Jenkins build-metrics 插件 1.3 及更早版本不在多个 HTTP 端点中执行权限检查,从而允许具有“整体/读取”权限的攻击者获取与其无法访问的其他方式有关的作业信息。(CVE-2022-34785)

 - Jenkins Rich Text Publisher 插件 1.4 和更早版本不会转义由其后构建步骤设置的 HTML 消息,导致存在存储型跨站脚本 (XSS) 漏洞,可配置作业的攻击者可利用此漏洞。(CVE-2022-34786)

 - Jenkins Project Inheritance 插件 21.04.03 和更早版本不会转义工具提示中阻止构建的原因,导致存在跨站脚本 (XSS) 漏洞,能够控制队列项目遭阻止的原因的攻击者可利用此漏洞。(CVE-2022-34787)

 - Jenkins Matrix Reloaded 插件 1.1.3 及更早版本不会转义工具提示中的代理名称,导致存在存储型跨站脚本 (XSS) 漏洞,具有“代理/配置”权限的攻击者可利用此漏洞。(CVE-2022-34788)

 - Jenkins Matrix Reloaded 插件 1.1.3 及更早版本中存在一个跨站脚本伪造 (CSRF) 漏洞,允许攻击者重建以前的矩阵构建。(CVE-2022-34789)

 - Jenkins eXtreme Feedback Panel 插件 2.0.1 及更早版本不会转义工具提示中所使用的作业名称,导致存在存储型跨站脚本 (XSS) 漏洞,具有“项目/配置”权限的攻击者可利用此漏洞。(CVE-2022-34790)

 - Jenkins Validating Email Parameter 插件 1.10 及更早版本不会转义参数类型的名称和描述,导致存在存储型跨站脚本 (XSS) 漏洞,具有“项目/配置”权限的攻击者可利用此漏洞。(CVE-2022-34791)

 - Jenkins Recipe 插件 1.2 及更早版本存在跨站请求伪造 (CSRF) 漏洞,允许攻击者向攻击者指定的 URL 发送 HTTP 请求并将响应解析为 XML。
 (CVE-2022-34792)

 - Jenkins Recipe 插件 1.2 及更早版本未配置其 XML 解析器以阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-34793)

 - Jenkins Recipe 插件 1.2 和更早版本中存在缺少权限检查漏洞,允许具有“全局/读取”权限的攻击者将 HTTP 请求发送到攻击者指定的 URL,并将响应解析为 XML。
 (CVE-2022-34794)

 - Jenkins Deployment Dashboard 插件 1.0.10 及更早版本不会在“部署仪表盘”视图上转义环境名称,导致存在存储型跨站脚本 (XSS) 漏洞,具有“查看/配置”权限的攻击者可利用此漏洞。(CVE-2022-34795)

 - Jenkins Deployment Dashboard 插件 1.0.10 及更早版本中存在缺少权限检查漏洞,因此具有“全局/读取”权限的攻击者可枚举 Jenkins 中所存储凭据的凭据 ID。(CVE-2022-34796)

 - Jenkins Deployment Dashboard 插件 1.0.10 及更早版本中存在一个跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其指定的凭据连接到其指定的 HTTP URL。(CVE-2022-34797)

 - Jenkins Deployment Dashboard 插件 1.0.10 及更早版本中,有多个 HTTP 端点未执行权限检查,从而允许具有“全局/读取”权限的攻击者使用攻击者指定的凭据连接到攻击者指定的 HTTP URL。(CVE-2022-34798)

 - Jenkins Deployment Dashboard 插件 1.0.10 及更早版本会将其全局配置文件中未加密的密码存储在 Jenkins 控制器上,而拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密码。(CVE-2022-34799)

 - Jenkins Build Notifications 插件 1.5.0 及更早版本会将其全局配置文件中未加密的令牌存储在 Jenkins 控制器上,而拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密钥。(CVE-2022-34800)

 - Jenkins Build Notifications 插件 1.5.0 和更早版本会在全局 Jenkins 配置表单中以明文形式传输令牌,从而可能导致令牌被暴露。(CVE-2022-34801)

 - Jenkins RocketChat Notifier 插件 1.5.2 及更早版本会将其全局配置文件中未加密的登录密码和 webhook 令牌存储在 Jenkins 控制器上,而拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密钥。(CVE-2022-34802)

 - Jenkins OpsGenie 插件 1.9 及更早版本会将未加密的 API 密钥存储在 Jenkins 控制器上的全局配置文件和作业 config.xml 文件中,因此具有扩展读取权限或 Jenkins 控制器文件系统访问权限 (config.xml) 的用户可查看这些标记。(CVE-2022-34803)

 - Jenkins OpsGenie 插件 1.9 和更早版本会在全局 Jenkins 配置表单和作业配置表单中以明文形式传输 API 密钥,从而可能导致令牌被暴露。(CVE-2022-34804)

 - Jenkins Skype notifier 插件 1.1.0 及更早版本会将其全局配置文件中未加密的密码存储在 Jenkins 控制器上,而拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密码。(CVE-2022-34805)

 - Jenkins Jigomerge 插件 0.9 及更早版本会将未加密的密码存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有扩展读取权限或 Jenkins 控制器文件系统访问权限的用户可查看这些密码。(CVE-2022-34806)

 - Jenkins Elasticsearch Query 插件 1.2 及更早版本会将其全局配置文件中未加密的密码存储在 Jenkins 控制器上,而拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密码。(CVE-2022-34807)

 - Jenkins Cisco Spark 插件 1.1.1 及更早版本会将其全局配置文件中未加密的持有者令牌存储在 Jenkins 控制器上,而拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密钥。(CVE-2022-34808)

 - Jenkins RQM 插件 2.8 及更早版本会将其全局配置文件中未加密的密码存储在 Jenkins 控制器上,而拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密码。
 (CVE-2022-34809)

 - Jenkins RQM 插件 2.8 及更早版本中存在缺少检查漏洞,因此具有“全局/读取”权限的攻击者可枚举 Jenkins 中所存储凭据的凭据 ID。(CVE-2022-34810)

 - Jenkins XPath Configuration Viewer 插件 1.1.1 和更早版本中存在缺少权限检查漏洞,允许具有“全局/读取”权限的攻击者访问 XPath 配置查看器页面。(CVE-2022-34811)

 - Jenkins XPath Configuration Viewer 插件 1.1.1 及更早版本中存在跨站脚本伪造 (CSRF) 漏洞,允许攻击者创建及删除 XPath 表达式。(CVE-2022-34812)

 - Jenkins XPath Configuration Viewer 插件 1.1.1 和更早版本中存在缺少权限检查漏洞,允许具有“全局/读取”权限的攻击者创建及删除 XPath 表达式。(CVE-2022-34813)

 - Jenkins Request Rename Or Delete 插件 1.1.0 和更早版本未在 HTTP 端点中正确执行权限检查,从而允许具有“全局/读取”权限的攻击者查看列出待定请求的管理配置页面。(CVE-2022-34814)

 - Jenkins Request Rename Or Delete 插件 1.1.0 和更早版本中有一个跨站请求伪造 (CSRF) 漏洞,允许攻击者接受待定的请求,从而重命名或删除作业。(CVE-2022-34815)

 - Jenkins HPE Network Virtualization 插件 1.0 版会将未加密的密码存储在 Jenkins 控制器上的全局配置文件中,因此具有 Jenkins 控制器文件系统访问权限的用户可查看这些密码。(CVE-2022-34816)

 - Jenkins Failed Job Deactivator 插件 1.2.1 及更早版本中存在一个跨站脚本伪造 (CSRF) 漏洞,允许攻击者禁用作业。(CVE-2022-34817)

 - Jenkins Failed Job Deactivator 插件 1.2.1 和更早版本在多个视图和 HTTP 端点中不执行权限检查,允许具有“全局/读取”权限的攻击者禁用作业。
 (CVE-2022-34818)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Jenkins 插件更新到以下版本:
 - Build Notifications 插件:参见供应商公告
 - build-metrics 插件:参见供应商公告
 - Cisco Spark 插件:参见供应商公告
 - Deployment Dashboard 插件:参见供应商公告
 - Elasticsearch Query 插件:参见供应商公告
 - eXtreme Feedback Panel 插件:参见供应商公告
 - Failed Job Deactivator 插件:参见供应商公告
 - 将 GitLab 插件升级至 1.5.35 或更高版本
 - hpe-network-virtualization 插件:参见供应商公告
 - Jigomerge 插件:参见供应商公告
 - Matrix Reloaded 插件:参见供应商公告
 - OpsGenie 插件:参见供应商公告
 - Plot 插件:参见供应商公告
 - Project Inheritance 插件:参见供应商公告
 - Recipe 插件:参见供应商公告
 - Request Rename Or Delete 插件:参见供应商公告
 - 将 requests-plugin 插件升级至 2.2.17 或更高版本
 - Rich Text Publisher 插件:参见供应商公告
 - RocketChat Notifier 插件:参见供应商公告
 - RQM 插件:参见供应商公告
 - Skype notifier 插件:参见供应商公告
 - 将 TestNG Results 插件升级至 555.va0d5f66521e3 或更高版本
 - Validating Email Parameter 插件:参见供应商公告
 - 将 XebiaLabs XL Release 插件升级至版本 22.0.1 或更高版本
 - XPath Configuration Viewer 插件:参见供应商公告

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2022-06-30

插件详情

严重性: High

ID: 179363

文件名: jenkins_security_advisory_2022-06-30_plugins.nasl

版本: 1.2

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2023/8/4

最近更新时间: 2024/6/5

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 4.8

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2022-34793

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins

必需的 KB 项: installed_sw/Jenkins

易利用性: No known exploits are available

补丁发布日期: 2022/6/30

漏洞发布日期: 2022/6/30

参考资料信息

CVE: CVE-2022-34777, CVE-2022-34778, CVE-2022-34779, CVE-2022-34780, CVE-2022-34781, CVE-2022-34782, CVE-2022-34783, CVE-2022-34784, CVE-2022-34785, CVE-2022-34786, CVE-2022-34787, CVE-2022-34788, CVE-2022-34789, CVE-2022-34790, CVE-2022-34791, CVE-2022-34792, CVE-2022-34793, CVE-2022-34794, CVE-2022-34795, CVE-2022-34796, CVE-2022-34797, CVE-2022-34798, CVE-2022-34799, CVE-2022-34800, CVE-2022-34801, CVE-2022-34802, CVE-2022-34803, CVE-2022-34804, CVE-2022-34805, CVE-2022-34806, CVE-2022-34807, CVE-2022-34808, CVE-2022-34809, CVE-2022-34810, CVE-2022-34811, CVE-2022-34812, CVE-2022-34813, CVE-2022-34814, CVE-2022-34815, CVE-2022-34816, CVE-2022-34817, CVE-2022-34818