Jenkins 插件多个漏洞(2022 年 10 月 19 日)

critical Nessus 插件 ID 172085

语言:

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

 - Jenkins Script Security 插件 1183.v774b_0b_0a_a_451 及之前版本中存在一个涉及 Groovy 语言运行时隐式执行多种转换的沙盒绕过漏洞,允许具有定义和运行沙盒脚本(包括管道)的攻击者绕过沙盒保护并在 Jenkins 控制器 JVM 的上下文执行任意代码 。(CVE-2022-43401)

 - Jenkins Script Security 插件 1183.v774b_0b_0a_a_451 及之前版本中存在一个涉及特制的构造函数本体和对沙盒生成的合成构建函数的调用的沙盒绕过漏洞,允许具有定义和运行沙盒脚本(包括管道)的攻击者绕过沙盒保护并在 Jenkins 控制器 JVM 的上下文执行任意代码 。(CVE-2022-43404)

 - Jenkins 管道中存在沙盒绕过漏洞:Groovy Libraries 插件 612.v84da_9c54906d 及之前版本允许具有定义不受信任的管道库以及定义和运行沙盒脚本(包括管道)权限的攻击者绕过沙盒保护并在 Jenkins 控制器 JVM 的上下文中执行任意代码。(CVE-2022-43405)

 - Jenkins 管道中存在沙盒绕过漏洞:已弃用的 Groovy Libraries 插件 583.vf3b_454e43966 及之前版本允许具有定义不受信任的管道库以及定义和运行沙盒脚本(包括管道)权限的攻击者绕过沙盒保护并在 Jenkins 控制器 JVM 的上下文中执行任意代码。(CVE-2022-43406)

 - Jenkins 管道:Input Step 插件 451.vf1a_a_4f405289 及之前版本未限制或审查“输入”步骤的可选指定 ID,该 ID 用于处理给定“输入”步骤的用户交互(继续或中止)且未正确编码的 URL。这使得攻击者能配置管道以便让 Jenkins 从“输入”步骤 ID 构建 URL,这些 URL 可在与“输入”步骤交互时绕过 Jenkins 中任何目标 URL 的 CSRF 保护。 (CVE-2022-43407)

 - Jenkins 管道:Stage View 插件 2.26 及之前版本在使用“输入”步骤的 ID 生成 URL 以继续进行或中止管道构建时未正确为此 ID 编码,从而允许攻击者配置管道以指定“输入”步骤 ID,导致生成的 URL 将绕过 Jenkins 中任何目标 URL 的 CSRF 保护。 (CVE-2022-43408)

 - Jenkins 管道:支持性 API 插件 838.va_3a_087b_4055b 及之前版本未审查或正确编码构建日志中发送 POST 请求的 URL,导致存在存储的跨站脚本 (XSS) 漏洞,能够创建管道的攻击者可利用此漏洞。 (CVE-2022-43409)

 - Jenkins Mercurial 插件 1251.va_b_121f184902 及之前版本提供有关已触发或计划通过其 Webhook 端点轮询的作业的信息,包括用户无权访问的作业。 (CVE-2022-43410)

 - Jenkins GitLab 插件 1.5.35 及之前版本在检查提供的 Webhook 标记和预期的 Webhook 标记是否相等时使用非常量时间比较函数,这可能允许攻击者使用统计方法获取有效的 Webhook 标记。 (CVE-2022-43411)

 - Jenkins Generic Webhook Trigger 插件 1.84.1 及之前版本在检查提供的 Webhook 标记和预期的 Webhook 标记是否相等时使用非常量时间比较函数,这可能允许攻击者使用统计方法获取有效的 Webhook 标记。 (CVE-2022-43412)

 - 在 Jenkins Job Import 插件 3.5 及更早版本中,有一个 HTTP 端点未执行权限检查,从而允许具有“全局/读取”权限的攻击者枚举 Jenkins 中所存储凭据的凭据 ID。(CVE-2022-43413)

 - Jenkins NUnit 插件 0.27 及更早版本实现了代理到控制器消息,此消息解析用户指定的目录中的文件,并将这些文件用作测试结果,允许攻击者控制代理进程,以便从 Jenkins 控制器上攻击者指定的目录中的文件获取测试结果。 (CVE-2022-43414)

 - Jenkins REPO 插件 1.15.0 及更早版本未配置其 XML 解析器以阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-43415)

 - Jenkins Katalon 插件 1.0.32 及之前版本实现的代理/控制器消息不限制其执行位置,并允许通过可配置的参数调用 Katalon,从而允许攻击者能够控制代理进程,从而使用攻击者控制的版本在 Jenkins 控制器上调用 Katalon 、安装位置和参数,攻击者还可以在 Jenkins 控制器上创建文件(例如,具有“项目/配置”权限的攻击者可以存档构件)以调用任意 OS 命令。
 (CVE-2022-43416)

 - Jenkins Katalon 插件 1.0.32 及更早版本不在几个 HTTP 端点中执行权限检查,这允许具有“全局/读取”权限的攻击者使用其通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 URL,从而捕获 Jenkins 中存储的凭据。
 (CVE-2022-43417)

 - Jenkins Katalon 插件 1.0.33 及更早版本中存在跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其通过其他方法获取的攻击者指定凭据 ID 连接到其指定的 URL,从而捕获存储在 Jenkins 中的凭据。(CVE-2022-43418)

 - Jenkins Katalon 插件 1.0.32 及更早版本会将未加密的 API 密钥存储在 Jenkins 控制器上的作业 config.xml 文件中,因此具有扩展读取权限或 Jenkins 控制器文件系统访问权限的用户可查看这些标记。(CVE-2022-43419)

 - Jenkins Contrast Continuous Application Security 插件 3.9 及之前版本在生成报告时未转义从 Contrast 服务返回的数据,导致能够控制或修改 Contrast 服务 API 响应的攻击者利用存储的跨站脚本 (XSS) 漏洞。
 (CVE-2022-43420)

 - Jenkins Tuleap Git Branch Source 插件 3.2.4 及之前版本中缺少权限检查,允许未经身份验证的攻击者触发配置的存储库与攻击者指定的值匹配的 Tuleap 项目。 (CVE-2022-43421)

 - Jenkins Compuware Topaz Utilities 插件 1.0.8 和之前版本实现的代理/控制器消息不限制其执行位置,这允许攻击者控制代理进程,从而从 Jenkins 控制器进程获取 Java 系统属性的值。 (CVE-2022-43422)

 - Jenkins Compuware Source Code Download for Endevor, PDS, and ISPW 插件 2.0.12 和之前版本实现的代理/控制器消息不限制其执行位置,这允许攻击者控制代理进程,从而从 Jenkins 控制器进程获取 Java 系统属性的值。
 (CVE-2022-43423)

 - Jenkins Compuware Xpediter Code Coverage 插件 1.0.7 和之前版本实现的代理/控制器消息不限制其执行位置,这允许攻击者控制代理进程,从而从 Jenkins 控制器进程获取 Java 系统属性的值。 (CVE-2022-43424)

 - Jenkins Custom Checkbox Parameter 插件 1.4 及更早版本不会在显示参数的视图中转义 Custom Checkbox Parameter 参数的名称和描述,从而导致具有“项目/配置”权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。(CVE-2022-43425)

 - Jenkins S3 Explorer 插件 1.0.8 及更早版本未对 AWS_SECRET_ACCESS_KEY 形式的字段进行掩码,这使得攻击者更有可能观察和捕获该密钥。(CVE-2022-43426)

 - 在 Jenkins Compuware Topaz for Total Test 插件 2.4.8 及更早版本中,有几个 HTTP 端点未执行权限检查,这使得具有“全局/读取”权限的攻击者能枚举 Jenkins 中所存储凭据的凭据 ID。(CVE-2022-43427)

 - Jenkins Compuware Topaz for Total Test 插件 2.4.8 和之前版本实现的代理/控制器消息不限制其执行位置,这允许攻击者控制代理进程,从而从 Jenkins 控制器进程获取 Java 系统属性的值。 (CVE-2022-43428)

 - Jenkins Compuware Topaz for Total Test 插件 2.4.8 和之前版本实现的代理/控制器消息不限制其执行位置,这允许攻击者控制代理进程,从而从 Jenkins 控制器文件系统读取任意文件。 (CVE-2022-43429)

 - Jenkins Compuware Topaz for Total Test 插件 2.4.8 及更早版本未配置其 XML 解析器以阻止 XML 外部实体 (XXE) 攻击。(CVE-2022-43430)

 - 在 Jenkins Compuware Strobe Measurement 插件 1.0.1 及更早版本中,有一个 HTTP 端点未执行权限检查,这允许具有“全局/读取”权限的攻击者枚举 Jenkins 中所存储凭据的凭据 ID。(CVE-2022-43431)

 - Jenkins XFramium Builder 插件 1.0.22 及之前版本以编程方式禁用对 Jenkins 提供用于下载的工作区、存档项目等中用户生成的内容的 Content-Security-Policy 保护。(CVE-2022-43432)

 - Jenkins ScreenRecorder 插件 0.7 及之前版本以编程方式禁用对 Jenkins 提供用于下载的工作区、存档项目等中用户生成的内容的 Content-Security-Policy 保护。
 (CVE-2022-43433)

 - Jenkins NeuVector Vulnerability Scanner 插件 1.20 及之前版本以编程方式禁用对 Jenkins 提供用于下载的工作区、存档项目等中用户生成的内容的 Content-Security-Policy 保护。(CVE-2022-43434)

 - Jenkins 360 FireLine 插件 1.7.2 及之前版本以编程方式禁用对 Jenkins 提供用于下载的工作区、存档项目等中用户生成的内容的 Content-Security-Policy 保护。
 (CVE-2022-43435)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Jenkins 插件更新到以下版本:
 - 360 FireLine 插件:参见供应商公告
 - Compuware Source Code Download for Endevor, PDS, and ISPW 插件 2.0.13 或更高版本
 - Compuware Strobe Measurement 插件:参见供应商公告
 - Compuware Topaz for Total Test 插件:参见供应商公告
 - Compuware Topaz Utilities 插件 1.0.9 或更高版本
 - Compuware Xpediter Code Coverage 插件 1.0.8 或更高版本
 - Contrast Continuous Application Security 插件 3.10 或更高版本
 - Custom Checkbox Parameter 插件:参见供应商公告
 - Generic Webhook Trigger 1.84.2 或更高版本
 - GitLab 插件 1.5.36 或更高版本
 - Job Import 插件 3.6 或更高版本
 - Katalon 插件 1.0.34 或更高版本
 - Mercurial 插件 1260.vdfb_723cdcc81 或更高版本
 - NeuVector 漏洞扫描程序插件:参见供应商公告
 - NUnit 插件 0.28 或更高版本
 - 管道:弃用的 Groovy Libraries 插件 588.v576c103a_ff86 或更高版本
 - 管道:Groovy Libraries 插件: 参见供应商公告
 - 管道:Groovy Plugin 2803.v1a_f77ffcc773 或更高版本
 - 管道:Input Step 插件 456.vd8a_957db_5b_e9 或更高版本
 - 管道:Stage View 插件 2.27 或更高版本
 - 管道:支持性 API 插件 839.v35e2736cfd5c 版或更高版本
 - REPO 插件升级至 1.16.0 或更高版本
 - S3 Explorer 插件:参见供应商公告
 - ScreenRecorder 插件:参见供应商公告
 - 脚本安全插件 1184.v85d16b_d851b_3 版或更高版本
 - Tuleap Git Branch Source 插件 3.2.5 或更高版本
 - XFramium Builder 插件:参见供应商公告

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2022-10-19

插件详情

严重性: Critical

ID: 172085

文件名: jenkins_security_advisory_2022-10-19_plugins.nasl

版本: 1.1

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2023/3/3

最近更新时间: 2023/3/6

支持的传感器: Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 6.5

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: CVSS2#E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2022-43407

CVSS v3

风险因素: Critical

基本分数: 9.9

时间分数: 8.6

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2022-43406

漏洞信息

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必需的 KB 项: installed_sw/Jenkins

易利用性: No known exploits are available

补丁发布日期: 2022/10/19

漏洞发布日期: 2022/10/19

参考资料信息

CVE: CVE-2022-43401, CVE-2022-43404, CVE-2022-43405, CVE-2022-43406, CVE-2022-43407, CVE-2022-43408, CVE-2022-43409, CVE-2022-43410, CVE-2022-43411, CVE-2022-43412, CVE-2022-43413, CVE-2022-43414, CVE-2022-43415, CVE-2022-43416, CVE-2022-43417, CVE-2022-43418, CVE-2022-43419, CVE-2022-43420, CVE-2022-43421, CVE-2022-43422, CVE-2022-43423, CVE-2022-43424, CVE-2022-43425, CVE-2022-43426, CVE-2022-43427, CVE-2022-43428, CVE-2022-43429, CVE-2022-43430, CVE-2022-43431, CVE-2022-43432, CVE-2022-43433, CVE-2022-43434, CVE-2022-43435