Jenkins LTS < 2.462.3 / Jenkins weekly < 2.479 多个漏洞
medium Nessus 插件 ID 208098
语言:
简介
远程 Web 服务器主机上运行的应用程序受到多个漏洞影响描述
根据其自我报告的版本号,远程 Web 服务器上运行的 Jenkins 版本低于 Jenkins LTS 2.462.3,或低于 Jenkins weekly 2.479。因此,它受到多个漏洞影响:- Jenkins 2.478 及更早版本、LTS 2.462.2 及更早版本不会编辑为涉及 `secretTextarea` 表单字段的表单提交生成的错误消息中的多行密码值。(CVE-2024-47803)
- 如果尝试通过 Jenkins CLI 或 REST API 创建类型为 `ACL#hasCreatePermission2` 或 `TopLevelItemDescriptor#isApplicableIn(ItemGroup)` 所禁止的项目并且其中一项检查失败,则 Jenkins 2.478 及更早版本、LTS 2.462.2 及更早版本会在内存中创建项目,并且仅将其从磁盘删除,这会导致具有 Item/Configure 权限的攻击者可以保存项目以使其持久存在,从而有效绕过项目创建限制。(CVE-2024-47804)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Jenkins weekly 升级到版本 2.479 或更高版本,或将 Jenkins LTS 升级到版本 2.462.3 或更高版本。另见
插件详情
严重性: Medium
ID: 208098
文件名: jenkins_2_479.nasl
版本: 1.3
类型: combined
代理: windows, macosx, unix
系列: CGI abuses
发布时间: 2024/10/3
最近更新时间: 2025/4/3
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
Enable CGI Scanning: true
风险信息
VPR
风险因素: Low
分数: 1.4
CVSS v2
风险因素: Medium
基本分数: 4
时间分数: 3
矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N
CVSS 分数来源: CVE-2024-47804
CVSS v3
风险因素: Medium
基本分数: 4.3
时间分数: 3.8
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins
必需的 KB 项: installed_sw/Jenkins
易利用性: No known exploits are available
补丁发布日期: 2024/10/2
漏洞发布日期: 2024/10/2
参考资料信息
CVE: CVE-2024-47803, CVE-2024-47804
IAVA: 2024-A-0606-S