Jenkins < 1.583 / 1.565.3 和 Jenkins Enterprise 1.532.x / 1.554.x / 1.565.x < 1.532.10.1 / 1.554.10.1 / 1.565.3.1 多种漏洞
critical Nessus 插件 ID 78859
语言:
简介
远程 Web 服务器托管受多个漏洞影响的作业排定和管理系统。描述
远程 Web 服务器托管受多种漏洞影响的 Jenkins(开源)或 CloudBees Jenkins Enterprise 版本:- 存在与文件上传处理相关的错误,允许远程攻击者覆盖任意文件。
(CVE-2013-2186)
- 存在输入验证错误,此问题与包含的“ZeroClipboard”组件相关,可导致跨站脚本攻击。(CVE-2014-1869)
- 存在一个错误,此问题与“CLI 握手”处理相关,可导致拒绝服务攻击。(CVE-2014-3661)
- 存在与处理使用不存在的或错误的帐户名称尝试登录相关的错误,允许远程攻击者枚举应用程序用户名。
(CVE-2014-3662)
- 存在与处理具有“Job/CONFIGURE”权限的用户相关的错误,允许此类用户执行仅适用于“Job/CREATE”权限的操作。
(CVE-2014-3663)
- 存在一个错误,此问题与处理具有“Overall/READ”权限的用户相关,可导致目录遍历攻击。(CVE-2014-3664)
- 存在一个错误,此问题与“CLI 通道”相关,远程攻击者可利用此漏洞,在 Jenkins 主服务器上执行任意代码。(CVE-2014-3666)
- 存在一个错误,此问题与处理具有“Overall/READ”权限的用户相关,可导致泄露插件源代码。(CVE-2014-3667)
- 存在输入验证错误,此问题与“Monitoring”插件相关,可导致跨站脚本攻击。(CVE-2014-3678)
- 存在与“Monitoring”插件相关的错误,允许对敏感信息进行未授权的访问。
(CVE-2014-3679)
- 存在一个错误,此问题与处理具有“Job/READ”权限的用户相关,此类用户可利用此漏洞,获取属于参数化作业的默认密码。(CVE-2014-3680)
- 存在不明输入验证错误,可导致跨站脚本攻击。(CVE-2014-3681)
解决方案
升级到 Jenkins 1.583 / 1.565.3 或 Jenkins Enterprise 1.532.10.1 / 1.554.10.1 / 1.565.3.1 或更高版本。另见
插件详情
严重性: Critical
ID: 78859
文件名: jenkins_1_583.nasl
版本: 1.9
类型: combined
代理: windows, macosx, unix
系列: CGI abuses
发布时间: 2014/11/4
最近更新时间: 2024/6/5
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
Enable CGI Scanning: true
风险信息
VPR
风险因素: Medium
分数: 5.8
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2013-2186
CVSS v3
风险因素: Critical
基本分数: 9.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞信息
CPE: cpe:/a:jenkins-ci:monitoring_plugin, cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins
必需的 KB 项: installed_sw/Jenkins
易利用性: No known exploits are available
补丁发布日期: 2014/9/26
漏洞发布日期: 2014/9/26
参考资料信息
CVE: CVE-2013-2186, CVE-2014-1869, CVE-2014-3661, CVE-2014-3662, CVE-2014-3663, CVE-2014-3664, CVE-2014-3666, CVE-2014-3667, CVE-2014-3678, CVE-2014-3679, CVE-2014-3680, CVE-2014-3681