远程 Web 服务器托管受多种漏洞影响的 Jenkins 或 Jenkins Enterprise 版本：

  - 默认标记格式化程序中存在缺陷，攻击者可利用此漏洞，通过用户配置中的描述字段，构造跨站脚本。(CVE-2013-5573)

  - 存在一个安全绕过漏洞，经过身份验证的远程攻击者可利用此漏洞，更改配置和执行任意作业。（CVE-2013-7285、CVE-2013-7330、CVE-2014-2058）

  - Winstone servlet 中存在一个不明缺陷，远程攻击者可利用此漏洞，劫持会话。(CVE-2014-2060)

  - “PasswordParameterDefinition”中存在一个输入控制缺陷，远程攻击者可利用此漏洞，泄露敏感信息（包括密码）。(CVE-2014-2061)

  - 由于删除了用户时不使 API 标记失效导致的安全绕过漏洞。
    (CVE-2014-2062)

  - 存在一个不明缺陷，远程攻击者可利用此漏洞，进行点击劫持攻击。(CVE-2014-2063)

  - “loadUserByUsername”函数中存在信息泄露漏洞，远程攻击者可利用此漏洞，通过与失败登录尝试相关的向量，确定是否存在某个用户。(CVE-2014-2064)

  - 由于对“iconSize”cookie 的输入验证不正确造成的跨站脚本漏洞。
    (CVE-2014-2065)

  - 存在一个会话固定漏洞，远程攻击者可利用此漏洞，劫持 Web 会话。(CVE-2014-2066)

  - “hudson/util/RemotingDiagnostics.java”的“doIndex”函数中存在信息泄露漏洞，经过身份验证且具有“ADMINISTRATOR”权限的远程用户可利用此漏洞，通过 heapDump 获取敏感信息。(CVE-2014-2068)

此更新通过应用向后移植的上游修补程序，修复了远程代码执行安全漏洞。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

远程 Web 服务器上托管的 Artifactory 版本低于 3.1.1.1。因此，它使用包含已知远程代码执行漏洞的库。

更新后的 jasperreports-server-pro 程序包修复了一个安全问题，现在可用。

Red Hat 安全响应团队已将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Red Hat Enterprise Virtualization 报告程序包提供预配置报告的套件和仪表板，可通过这些报告和仪表板来监控系统。报告模块基于 JasperReports 和 JasperServer，并且还可用于创建临时报告。

XStream 是 Red Hat Enterprise Virtualization 报告程序包用于对出入 XML 的对象进行序列化和反序列化的简单的库。

已发现 XStream 可以对用户提供的任意 XML 内容（代表任意类型的对象）进行反序列化。能够将 XML 传递至 XStream 的远程攻击者可利用此缺陷实施各种攻击，包括在运行 XStream 应用程序的服务器上下文中执行远程代码。(CVE-2013-7285)

建议所有 jasperreports-server-pro 用户升级到此更新后的程序包，其包含用于修正此问题的向后移植的修补程序。

根据其自我报告的版本号，远程主机上安装的 JFrog Artifactory 版本低于 7.10.1。因此，该应用程序受到多个漏洞的影响：

  - 如果安全框架未初始化，1.4.6 及之前的 Xstream API 版本和版本 1.4.10 可能允许远程攻击者在解组 XML 或任何受支持的格式（例如 JSON）时，通过操纵经过处理的输入流来运行任意 shell 命令。(CVE-2013-7285)

  - 在 1.4.9 之前的 Xstream 中，Dom4JDriver、DomDriver、JDomDriver、JDom2Driver、SjsxpDriver、StandardStaxDriver 和 WstxDriver 驱动器中存在多个 XML 外部实体 (XXE) 漏洞，允许远程攻击者通过构建的 XML 文档读取任意文件。(CVE-2016-3674)

  - 如果不使用特定 denyTypes 变通方案，1.4.9 及之前版本的 XStream 会在反编组期间错误处理对于创建原始类型 “void” 实例的尝试，进而导致远程应用程序崩溃，这一点已由 xstream.fromXML 调用证实。 (CVE-2017-7957)

  - 遇到特别构建的输入时，Apache Commons Compress 1.15 至 1.18 内部使用的文件名编码算法可进入无限循环。如果攻击者可选择 Compress 创建的存档中的文件名，则可导致拒绝服务攻击。(CVE-2019-12402)

  - 在版本 3.6.2 之前和 3.7.1 之前的版本 3.7.0 Atlassian Crowd 中，OpenID 客户端应用程序允许远程攻击者通过 XML 实体扩展漏洞发起拒绝服务攻击。(CVE-2019-20104)

  - 在 Go 1.13.13 之前的版本以及 1.14.x 之前的 1.14.5 版本中，某些 net/http 服务器中存在数据争用（httputil.ReverseProxy 处理程序即为一例），因为它同时读取请求主体并写入响应。(CVE-2020-15586)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

Jenkins 安全公告报告：

此公告宣布在 Jenkins 核心中发现的多种安全漏洞。

- iSECURITY-105

Jenkins XML API 在某些位置使用 XStream 来反序列化任意内容，据报告称这受到针对 XStream 的 CVE-2013-7285 的影响。
这允许具有一组有限权限的恶意 Jenkins 用户在 Jenkins 主控端中执行任意代码。

- SECURITY-76 & SECURITY-88 / CVE-2013-5573

对用户可编辑内容的 HTML 标签的限制过于宽松。这允许恶意 Jenkins 用户诱骗其他没有防备的用户提供敏感信息。

- SECURITY-109

修补较早的 SECURITY-55 补丁中的一个漏洞。在某些情况下，恶意 Jenkins 用户可将作业 X 配置为触发用户无权访问的另一个作为 Y。

- SECURITY-108

CLI job 创建存在目录遍历漏洞。这允许具有一组有限权限的恶意 Jenkins 用户覆盖 Jenkins 主控端中的文件并升级权限。

- SECURITY-106

嵌入式 Winstone servlet 容器容易遭受会话劫持攻击。

- SECURITY-93

Jenkins UI 中密码参数定义中的密码输入控件以 HTML 方式提供实际密码值，而非经加密的密码值。如果将敏感值设置为此类参数定义的默认值，其可被暴露给非预期受众。

- SECURITY-89

删除用户不会使 API 标记失效，从而允许用户在不应获准访问 Jenkins 时进行访问。

- SECURITY-80

Jenkins UI 容易遭受点击劫持攻击。

- SECURITY-79

“Jenkins 自有的用户数据库”在登录尝试失败时揭示用户在场/缺席。

- SECURITY-77

Jenkins 在其 Cookie 之一中存在跨站脚本漏洞。如果在允许攻击者替代受害者浏览器中的 Jenkins Cookie 的环境中部署了 Jenkins，则可利用此漏洞。

- SECURITY-75

Jenkins 容易遭受会话固定攻击。如果在允许攻击者替代受害者浏览器中的 Jenkins Cookie 的环境中部署了 Jenkins，则可利用此漏洞。

- SECURITY-74

存储的 XSS 漏洞。具有一组特定权限的恶意 Jenkins 用户可导致 Jenkins 存储任意 HTML 片段。

- SECURITY-73

某些系统诊断功能检查的权限比其应有的少。在非常有限的情况下，这可导致攻击者获得其不应有权访问的信息。

严重性

- SECURITY-106 和 SECURITY-80 被评级为“高危”。攻击者仅需要对服务器的直接 HTTP 访问权限即可发起此攻击。

- SECURITY-105、SECURITY-109、SECURITY-108 和 SECURITY-74 被评级为“高危”。这些漏洞允许攻击者通过有效的 Jenkins 用户帐户以各种方式升级权限。

- SECURITY-76、SECURIT-88 和 SECURITY-89 被评级为“中危”。这些漏洞需要攻击者为 Jenkins 用户，并且攻击的模式有限。

- SECURITY-93 和 SECURITY-79 被评级为“低危”。这些漏洞仅影响一小部分 Jenkins 且影响有限。

- SECURITY-77、SECURITY-75 和 SECURITY-73 被评级为“低危”。这些漏洞难以利用，除非结合网络中的其他利用。

远程主机受到 GLSA-201612-35 中所述漏洞的影响（XStream：远程任意代码执行）据发现，XStream 会将任意用户提供的 XML 内容反序列化，进而显示任何类型的对象。影响：远程攻击者可将特别构建的 XML 文档发送到 XStream，从而可能导致以进程的权限执行任意代码或拒绝服务情况。解决方法：目前无任何已知的解决方法。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
72685	Jenkins < 1.551 / 1.532.2 和 Jenkins Enterprise 1.509.x / 1.532.x < 1.509.5.1 / 1.532.2.2 多种漏洞	Nessus	CGI abuses	2014/2/25	2024/6/5	high
72629	Fedora 19：xstream-1.3.1-5.1.fc19 (2014-2340)	Nessus	Fedora Local Security Checks	2014/2/23	2021/1/11	critical
72630	Fedora 20：xstream-1.3.1-9.fc20 (2014-2372)	Nessus	Fedora Local Security Checks	2014/2/23	2021/1/11	critical
72966	Artifactory < 3.1.1.1 XStream 远程代码执行	Nessus	CGI abuses	2014/3/12	2025/5/14	critical
79007	RHEL 6：jasperreports-server-pro (RHSA-2014:0389)	Nessus	Red Hat Local Security Checks	2014/11/8	2021/1/14	critical
144307	JFrog < 7.10.1 多个漏洞	Nessus	Misc.	2020/12/16	2022/12/5	critical
72528	FreeBSD：jenkins -- 多种漏洞 (3e0507c6-9614-11e3-b3a5-00e0814cab4e)	Nessus	FreeBSD Local Security Checks	2014/2/17	2021/1/6	critical
95738	GLSA-201612-35：XStream：远程任意代码执行	Nessus	Gentoo Local Security Checks	2016/12/13	2021/1/11	critical

检测

插件搜索

high

critical

critical

critical

critical

critical

critical

critical