检测

Jenkins 插件多个漏洞(2024-11-13)

high Nessus 插件 ID 210929

语言:

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

 - Jenkins 脚本安全插件 1367.vdf2fc45f229c 和更早版本(1365.1367.va_3b_b_89f8a_95b_ 和 1362.1364.v4cf2dc5d8776 除外)不在实现表单验证的方法中执行权限检查,这能让具有 Overall/Read 权限的攻击者检查控制器文件系统上是否存在文件。(CVE-2024-52549)

 - Jenkins 管道:Groovy 插件 3990.vd281dd77a_388 和更早版本(3975.3977.v478dd9e956c3 除外)不会检查用于重建版本的主 (Jenkinsfile) 脚本是否经过批准,这能让具有 Item/Build 权限的攻击者重建之前的版本,其 (Jenkinsfile) 脚本不再获批准。
 (CVE-2024-52550)

 - Jenkins 管道:Declarative 插件 2.2214.vb_b_34b_2ea_9b_83 和更早版本不会检查用于重建特定阶段的主要 (Jenkinsfile) 脚本是否经过批准,这能让具有 Item/Build 权限的攻击者重建之前的版本,其 (Jenkinsfile) 脚本不再获批准。
 (CVE-2024-52551)

 - Jenkins Authorize Project 插件 1.7.2 及更早版本评估包含在 Authorization 上具有 JavaScript 的作业名称的字符串,导致存在存储型跨站脚本 (XSS) 漏洞,具有“项目/配置”权限的攻击者可利用此漏洞。(CVE-2024-52552)

 - Jenkins OpenId Connect 身份验证插件 4.418.vccc7061f5b_6d 及更早版本在登录时不会使之前的会话无效。(CVE-2024-52553)

 - Apache Software Foundation Apache Ivy 中存在不当限制 XML 外部实体引用、XML 注入(又称盲目 XPath 注入)漏洞。此问题会影响 Apache Ivy 2.5.2 之前的所有版本。Apache Ivy 2.5.2 之前的版本在解析 XML 文件时(其自身的配置、Ivy 文件或 Apache Maven POM),将允许下载外部文档类型定义,并在使用时展开其中包含的任何实体引用。攻击者可利用此漏洞泄露数据,访问仅运行 Ivy 的计算机可以访问的资源,或以不同方式干扰 Ivy 的执行。Ivy 2.5.2 及更高版本在默认情况下禁用 DTD 处理,但在解析 Maven POM 时除外,此时的默认设置为允许 DTD 处理,但仅包含随附 Ivy 的 DTD 片段,该片段可用于处理现有 Maven POM(无效的 XML 文件,但仍被 Maven 接受)。如果需要,可以通过新引入的系统属性来放宽访问权限。Ivy 2.5.2 之前版本的用户可以使用 Java 系统属性来限制外部 DTD 的处理,请参阅《Oracle Java API for XML Processing (JAXP) 安全指南》中有关外部访问的 JAXP 属性限制部分。
 (CVE-2022-46751)

 - Jenkins 共享库版本覆盖插件 17.v786074c9fce7 和更早版本将文件夹范围的库替代声明为受信任,使其不会在脚本安全沙盒中执行,从而允许在文件夹上具有项目/配置权限的攻击者配置文件夹范围的库在没有沙盒保护的情况下运行的库替代。(CVE-2024-52554)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Jenkins 插件更新到以下版本:
 - 授权 Project 插件为版本 1.8.0 或更高版本
 - IvyTrigger 插件 1.02 或更高版本
 - OpenId Connect Authentication 插件 4.421.v5422614eb_e0a_ 版或更高版本
 - 管道:声明式插件升级到 2.2218.v56d0cda_37c72 版或更高版本
 - 管道:Groovy 插件升级到版本 3993.v3e20a_37282f8 或更高版本
 - 安全插件脚本 1368.vb_b_402e3547e7 版或更高版本
 - Shared Library Version Override Plugin 升级至 19.v3a_c975738d4a_ 或更高版本

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2024-11-13

插件详情

严重性: High

ID: 210929

文件名: jenkins_security_advisory_2024-11-13_plugins.nasl

版本: 1.2

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2024/11/13

最近更新时间: 2025/4/16

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

Enable CGI Scanning: true

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 8.5

时间分数: 6.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:P

CVSS 分数来源: CVE-2022-46751

CVSS v3

风险因素: High

基本分数: 8.2

时间分数: 7.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins

必需的 KB 项: installed_sw/Jenkins

可利用: true

易利用性: Exploits are available

补丁发布日期: 2024/11/13

漏洞发布日期: 2023/8/21

参考资料信息

CVE: CVE-2022-46751, CVE-2024-52549, CVE-2024-52550, CVE-2024-52551, CVE-2024-52552, CVE-2024-52553, CVE-2024-52554