检测

Jenkins 插件 多个漏洞(2022 年 4 月 12 日)

high Nessus 插件 ID 161440

语言:

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的 Jenkins 插件版本为低于 2.19.1 版本的 Jenkins CVS Plugin、低于 1112. 版本的 Credentials Plugin、低于 346. 版本的 Extended Choice Parameter Plugin、低于 2.35.3 版本的 Gerrit Trigger Plugin、低于 0.9.16 版本的 Git Parameter Plugin、低于 4.3.9 版本的 Google Compute Engine Plugin、低于 3.7.1 版本的 Jira Plugin、低于 1.22 版本的 Job Generator Plugin、低于 3.1 版本的 Mask Passwords Plugin、低于 1.10.3.1 版本的 Node and Label Parameter Plugin、低于 566. 版本的 Pipeline:Shared Groovy Libraries Plugin、低于 1.17 版本的之前的 Publish Over FTP Plugin、低于 2.15.4 版本的 Subversion Plugin,以及低于 876. 版本的 Promoted Builds Plugin。因此受到多个漏洞影响:

 - Jenkins Credentials Plugin 1111.v35a_307992395 及更早版本(1087.1089.v2f1b_9a_b_040e4、1074.1076.v39c30cecb_0e2 和 2.6.1.1 除外)不会在显示参数的视图中转义凭据参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-29036)

 - Jenkins Extended Choice Parameter Plugin 346.vd87693c5a_86c 及更早版本不会在显示参数的视图中转义扩展选择参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-29038)

 - Jenkins Gerrit Trigger Plugin 2.35.2 及更早版本不会在显示参数的视图中转义 Base64 编码字符串参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-29039)

 - Jenkins Git Parameter Plugin 0.9.15 及更早版本不会在显示参数的视图中转义 Git 参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-29040)

 - Jenkins Jira Plugin 3.7 及更早版本(3.6.1 除外)不会在显示参数的视图中转义 Jira Issue 和 Jira Release Version 参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-29041)

 - Jenkins Job Generator Plugin 1.22 及更早版本不会在 Job Generator 作业的 Build With Parameters 视图中转义 Generator Parameter 和 Generator Choice 参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。
 (CVE-2022-29042)

 - Jenkins Mask Passwords Plugin 3.0 及更早版本不会在显示参数的视图中转义 Non-Stored Password 参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-29043)

 - Jenkins Node and Label Parameter Plugin 1.10.3 及更早版本不会在显示参数的视图中转义 Node and Label 参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-29044)

 - Jenkins Promoted Builds Plugin 873.v6149db_d64130 及更早版本(3.10.1 除外)不会在显示参数的视图中转义 Promoted Build 参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-29045)

 - Jenkins Subversion Plugin 2.15.3 及更早版本不会在显示参数的视图中转义 List Subversion 标记等参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用由此产生的存储型跨站脚本 (XSS) 漏洞。(CVE-2022-29046)

 - Jenkins 管道:Shared Groovy Libraries 插件 564.ve62a_4eb_b_e039 及更早版本(2.21.3 版本除外),允许攻击者提交拉取请求(或等效请求),但无法直接提交到配置的 SCM,并通过更改拉取请求中动态检索库的定义来有效更改管道行为, 即使已将管道配置为不信任这些请求。(CVE-2022-29047)

 - Jenkins Subversion 插件 2.15.3 及更早版本中存在一个跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者连接到其指定的 URL。(CVE-2022-29048)

 - Jenkins Promoted Builds Plugin 873.v6149db_d64130 及更早版本( 3.10.1 除外)不会验证 Job DSL 中定义的升级名称,从而允许具有 Job/Configure 权限的攻击者创建具有不安全名称的升级。(CVE-2022-29049)

 - Jenkins Publish Over FTP 插件 1.16 及更低版本中存在一个跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其指定的凭据连接到 FTP 服务器。(CVE-2022-29050)

 - Jenkins Publish Over FTP Plugin 1.16 及更早版本中存在缺少权限检查漏洞,从而允许拥有“全局/读取”权限的攻击者使用其指定的凭据连接到 FTP 服务器。(CVE-2022-29051)

 - Jenkins Google Compute Engine Plugin 4.3.8 及更早版本会将未加密的私钥存储在 Jenkins 控制器上的云代理 config.xml 文件中,因此具有扩展读取权限或 Jenkins 控制器文件系统访问权限的用户可查看这些私钥。(CVE-2022-29052)

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

升级到 Promoted Builds Plugin 876. 或更高版本;升级到 Subversion Plugin 2.15.4 或更高版本;升级到 Publish Over FTP Plugin 1.17 或更高版本;升级到 Pipeline: Shared Groovy Libraries Plugin 566. 或更高版本;升级到 Node and Label parameter Plugin 1.10.3.1 或更高版本;升级到 Mask Passwords Plugin 3.1 或更高版本;升级到 Jira Plugin 3.7.1 或更高版本;升级到 Google Compute Engine Plugin 4.3.9;升级到 Git Parameter Plugin 0.9.16 或更高版本;升级到 Gerrit Trigger Plugin 2.35.3 或更高版本;升级到 Credentials Plugin 1112. 或更高版本;升级到 CVS Plugin 2.19.1 或更高版本

另见

https://jenkins.io/security/advisory/2022-04-12

插件详情

严重性: High

ID: 161440

文件名: jenkins_security_advisory_2022-04-12_plugins.nasl

版本: 1.4

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2022/5/23

最近更新时间: 2023/10/26

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2022-29050

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必需的 KB 项: installed_sw/Jenkins

易利用性: No known exploits are available

补丁发布日期: 2022/4/12

漏洞发布日期: 2022/4/12

参考资料信息

CVE: CVE-2022-29036, CVE-2022-29037, CVE-2022-29038, CVE-2022-29039, CVE-2022-29040, CVE-2022-29041, CVE-2022-29042, CVE-2022-29043, CVE-2022-29044, CVE-2022-29045, CVE-2022-29046, CVE-2022-29047, CVE-2022-29048, CVE-2022-29049, CVE-2022-29050, CVE-2022-29051, CVE-2022-29052