Jenkins 插件多个漏洞 (2025-03-19)
medium Nessus 插件 ID 232871
语言:
简介
远程 Web 服务器主机上运行的应用程序受到多个漏洞影响描述
根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:- EdDSA-Java (又名 ed25519-java)中通过 0.3.0 实现的 EdDSA 具有签名可篡改性,不满足 SUF-CMA(选定信息攻击下的强存在不可伪造性)属性。这使得攻击者能够为已知消息创建与之前签名不同的新的有效签名。 (CVE-2020-36843)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
将 Jenkins 插件更新到以下版本:- AnchorChain 插件: 请参阅供应商公告
- EDDSA API 插件升级到 0.3.0.1-16.vcb_4a_98a_3531c 版本或更高版本
- Zoho QEngine 插件版本 1.0.31.v4a_b_1db_6d6a_f2 或更高版本
有关更多详细信息,请参阅供应商公告。
另见
插件详情
严重性: Medium
ID: 232871
文件名: jenkins_security_advisory_2025-03-19_plugins.nasl
版本: 1.1
类型: combined
代理: windows, macosx, unix
系列: CGI abuses
发布时间: 2025/3/19
最近更新时间: 2025/3/19
支持的传感器: Nessus Agent, Nessus
Enable CGI Scanning: true
风险信息
VPR
风险因素: Medium
分数: 4.0
CVSS v2
风险因素: High
基本分数: 9
时间分数: 6.7
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2025-30196
CVSS v3
风险因素: Medium
基本分数: 4.3
时间分数: 3.8
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2020-36843
漏洞信息
CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins
必需的 KB 项: installed_sw/Jenkins
易利用性: No known exploits are available
补丁发布日期: 2025/3/19
漏洞发布日期: 2025/3/13