Jenkins 插件多个漏洞(Jenkins 安全公告 2021-03-30)

high Nessus 插件 ID 155735

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞的影响。

描述

根据其自我报告的版本号,远程 Web 服务器上运行的 Jenkins 插件版本为低于 1.5.1 的 Jenkins Build With Parameters Plugin、低于 0.27 的 Cloud Statistics Plugin、低于 1.23 的 Extra Columns Plugin、低于 1.42 的 Jabber (XMPP) notifier and control Plugin、低于 3.1.1 的 OWASP Dependency-Track Plugin、低于 1.3.1 的 REST List Parameter Plugin 或者 Team Foundation Server Plugin 5.157.1 或更低版本。因此受到多个漏洞影响:

- Jenkins Build With Parameters Plugin 1.5 及更低版本未对参数名称和描述转义,导致存在存储型跨站脚本 (XSS) 漏洞,具有“作业/配置”权限的攻击者可利用此漏洞。(CVE-2021-21628)

- Jenkins Build With Parameters Plugin 1.5 及更低版本中存在跨站请求伪造 (CSRF) 漏洞,攻击者可利用此漏洞,使用攻击者指定的参数构建项目。(CVE-2021-21629)

- Jenkins Extra Columns Plugin 1.22 及更低版本未对构建参数列中的参数值转义,导致存在存储型跨站脚本 (XSS) 漏洞,具有“作业/配置”权限的攻击者可利用此漏洞。(CVE-2021-21630)

- Jenkins Cloud Statistics Plugin 0.26 及更低版本未在 HTTP 端点中执行权限检查,具有“整体/读取”权限且知道随机活动 ID 的攻击者可利用此漏洞,查看相关配置异常错误消息。(CVE-2021-21631)

- Jenkins OWASP Dependency-Track Plugin 3.1.0 及更低版本中缺少权限检查,具有“整体/读取”权限的攻击者可利用此漏洞,连接到攻击者指定的 URL,从而捕获 Jenkins 中存储的凭据。(CVE-2021-21632)

- Jenkins OWASP Dependency-Track Plugin 3.1.0 及更低版本中存在跨站请求伪造 (CSRF) 漏洞,攻击者可利用此漏洞,连接到攻击者指定的 URL,从而捕获 Jenkins 中存储的凭据。
(CVE-2021-21633)

- Jenkins Jabber (XMPP) notifier and control Plugin 1.41 及更低版本将其全局配置文件中未加密的密码存储在 Jenkins 控制器上,具有 Jenkins 控制器文件系统访问权限的用户可在此查看这些密码。(CVE-2021-21634)

- Jenkins REST List Parameter Plugin 1.3.0 及更低版本未对嵌入式 JavaScript 中的参数名称引用转义,导致存在存储型跨站脚本 (XSS) 漏洞,具有“作业/配置”权限的攻击者可利用此漏洞。(CVE-2021-21635)

- Jenkins Team Foundation Server Plugin 5.157.1 及更低版本中缺少权限检查,具有“整体/读取”权限的攻击者可利用此漏洞,枚举 Jenkins 中存储的凭据的凭据 ID。
(CVE-2021-21636)

- Jenkins Team Foundation Server Plugin 5.157.1 及更低版本中缺少权限检查,具有“整体/读取”权限的攻击者可利用此漏洞,使用通过其他方法获取的攻击者指定凭据 ID,连接到攻击者指定的 URL,从而捕获 Jenkins 中存储的凭据。(CVE-2021-21637)

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号。

解决方案

将 REST List Parameter 插件升级到 1.3.1 版或更新版本;将 OWASP Dependency-Track 插件升级到 3.1.1 版或更新版本;将 Jabber (XMPP) 通知和控制插件升级到版本 1.42 或更新版本;将 Extra Columns 插件升级到 1.23 版或更新版本;将 Cloud Statistics 插件升级到 0.27 版或更新版本;将 Build with Parameters 插件升级到 1.5.1 版或更新版本。

请参阅 Team Foundation Server 插件的供应商公告。

另见

https://jenkins.io/security/advisory/2021-03-30

插件详情

严重性: High

ID: 155735

文件名: jenkins_security_advisory_2021-03-30_plugins.nasl

版本: 1.4

类型: combined

系列: CGI abuses

发布时间: 2021/11/30

最近更新时间: 2023/7/28

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-21638

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必需的 KB 项: installed_sw/Jenkins

易利用性: No known exploits are available

补丁发布日期: 2021/3/30

漏洞发布日期: 2021/3/30

参考资料信息

CVE: CVE-2021-21628, CVE-2021-21629, CVE-2021-21630, CVE-2021-21631, CVE-2021-21632, CVE-2021-21633, CVE-2021-21634, CVE-2021-21635, CVE-2021-21636, CVE-2021-21637, CVE-2021-21638