Jenkins 插件多个漏洞(2025 年 5 月 14 日)

critical Nessus 插件 ID 236410

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

- 危急。在 WSO2 Oauth 插件 1.0 及更早版本中,WSO2 Oauth 安全领域会接受身份验证声明而不进行验证。这允许未经身份验证的攻击者使用任何用户名和密码(包括不存在的用户名)登录到使用此安全领域的控制器。以此方式创建的会话没有任何其他颁发机构,即组中的成员身份,甚至连经过认证的组成员身份也不存在。以这种方式成功创建会话的影响取决于授权策略及其配置方式。常用授权策略如下所述运行: 授权策略“已登录用户可执行任何操作”确定以此方式登录的用户不是匿名用户,并且会被授予“全局/管理员”权限。Role-based Authorization Strategy Plugin 提供的授权策略 Role-based 策略会将直接分配给指定用户的权限授予攻击者(或适用于用户和群组的模糊权限)。应通过群组授予的权限将不会被授予。Matrix Authorization Strategy Plugin 提供的两种授权策略(基于矩阵的安全策略和基于项目的矩阵授权策略)会授予直接分配给指定用户的权限(或同时适用于用户和组的模糊权限,这类权限通常存在于插件 3.0 版本之前)。应通过群组授予的权限将不会被授予。在发布此公告时,尚无修复方法。了解我们为何宣布此问题。(CVE-2025-47889)

- 危急。在 OpenID Connect Provider Plugin 中,声明模板可使用环境变量来生成适用于动态内容的作业和版本。版本 ID 令牌的默认声明模板针对子(项目)声明使用 JOB_URL 环境变量。在 OpenID Connect Provider Plugin 96.vee8ed882ec4d 及更早版本中,版本 ID 令牌的生成可能使用环境变量的替代值。安装了允许替代任意环境变量的某些其他插件时(例如 Environment Injector 插件),这允许攻击者配置作业以构建假冒受信任作业的版本 ID 令牌,从而可能获取对外部服务的未经授权的访问权限。在 OpenID Connect 提供程序插件 111.v29fd614b_3617 中,如果环境变量已被覆盖,则版本 ID 令牌的生成会忽略。(CVE-2025-47884)

- 高危。CloudBees Plugin 374.v194b_d4f0c8c8 的 Health Advisor 和更早版本没有转义来自 Jenkins Health Advisor 服务器的响应。这会导致攻击者可以利用存储型跨站脚本 (XSS) 漏洞,从而控制 Jenkins Health Advisor 服务器响应。CloudBees Plugin 374.376.v3a_41a_a_142efe 的 Health Advisor 和更早版本没有转义来自 Jenkins Health Advisor 服务器的响应。
(CVE-2025-47885)

- 中危。Cadence vManager 插件 4.0.1-286.v9e25a_740b_a_48 及更早版本不在实施表单验证的方法中执行权限检查。这将允许具有全局/读取权限的攻击者使用攻击者指定的用户名和密码连接到攻击者指定的 URL。此外,这些表单验证方法不需要 POST 请求,从而导致跨站请求伪造 (CSRF) 漏洞。Cadence vManager 插件 4.0.1-288.v8804b_ea_a_cb_7f 需要受影响的表单验证方法具有 POST 请求和 Item/Configure 权限。(CVE-2025-47886、CVE-2025-47887)

- 中危。DingTalk Plugin 2.7.3 及更早版本对到已配置的 DingTalk webhook 的连接无条件禁用 SSL/TLS 证书和主机名验证。在发布此公告时,尚无修复方法。了解我们为何宣布此问题。(CVE-2025-47888)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Jenkins 插件更新到以下版本:
- Cadence vManager 插件升级至 4.0.1-288.v8804b_ea_a_cb_7f 版或更高版本
- DingTalk 插件:请参阅供应商公告
- 将 CloudBees 插件提供的 Health Advisor 升级到版本 374.376.v3a_41a_a_142efe 或更高版本
- 将 OpenID Connect Provider 插件升级至 111.v29fd614b_3617 版本或更高版本
- WSO2 Oauth 插件:请参阅供应商公告

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2025-05-14

插件详情

严重性: Critical

ID: 236410

文件名: jenkins_security_advisory_2025-05-14_plugins.nasl

版本: 1.1

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2025/5/14

最近更新时间: 2025/5/14

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

Enable CGI Scanning: true

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2025-47889

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins

必需的 KB 项: installed_sw/Jenkins

易利用性: No known exploits are available

补丁发布日期: 2025/5/14

漏洞发布日期: 2025/5/14

参考资料信息

CVE: CVE-2025-47884, CVE-2025-47885, CVE-2025-47886, CVE-2025-47887, CVE-2025-47888, CVE-2025-47889