Jenkins Enterprise 和 Operations Center 2.346.x < 2.346.40.0.15 多个漏洞(CloudBees 安全公告 2023-04-12)
high Nessus 插件 ID 174253
语言:
简介
远程 Web 服务器上托管的作业调度和管理系统受到多个漏洞的影响。描述
远程 Web 服务器上运行的 Jenkins Enterprise 或 Jenkins Operations Center 版本为低于 2.346.40.0.15 的 2.346.x。因此,该应用程序受到多个漏洞的影响,其中包括:- 当启用持久任务日志记录的推送模式时,Jenkins Kubernetes 插件 3909.v1f2c633e8590 及更早版本未正确屏蔽(即用星号替换)构建日志中的凭据。
(CVE-2023-30513)
- 当启用持久任务日志记录的推送模式时,Jenkins Azure Key Vault 插件 187.va_cd5fecd198a_ 及更早版本未正确屏蔽(即用星号替换)构建日志中的凭据。
(CVE-2023-30514)
- 当启用持久任务日志记录的推送模式时,Jenkins Thycotic DevOps Secrets Vault 插件 1.0.0 及更早版本未正确屏蔽(即用星号替换)构建日志中的凭据。
(CVE-2023-30515)
- Jenkins Image Tag Parameter 插件 2.0 版在连接到 Docker 注册表时错误地引入了退出 SSL/TLS 证书验证的选项,导致使用在低于 2.0 版中创建的图像标签参数的作业配置默认禁用 SSL/TLS 证书验证。
(CVE-2023-30516)
- Jenkins NeuVector Vulnerability Scanner 插件 1.22 及更早版本在连接到已配置的 NeuVector Vulnerability Scanner 服务器时会无条件禁用 SSL/TLS 证书和主机名验证。(CVE-2023-30517)
- Jenkins Thycotic Secret Server 插件 1.0.2 及更早版本中存在缺少权限检查漏洞,因此具有“整体/读取”权限的攻击者可枚举 Jenkins 中所存储凭据的凭据 ID。
(CVE-2023-30518)
- Jenkins Quay.io 触发器插件 0.1 及更早版本中存在缺少权限检查漏洞,该漏洞允许未经身份验证的攻击者触发与攻击者指定的存储库相对应的作业版本。(CVE-2023-30519)
- Jenkins Quay.io 触发器插件 0.1 及更早版本不限制通过 Quay.io 触发器 webhooks 提交中的存储库主页 URL 的 URL 方案,导致攻击者可利用产生的存储型跨站脚本 (XSS) 漏洞提交构建的 Quay.io 触发器 webhook 负载。(CVE-2023-30520)
- Jenkins Assembla 合并请求生成器插件 1.1.13 及更早版本中存在缺少权限检查漏洞,该漏洞允许未经身份验证的攻击者触发与攻击者指定的存储库相对应的作业版本。
(CVE-2023-30521)
- Jenkins Fogbugz 插件 2.2.17 及更早版本中缺少权限检查,允许具有项目/读取权限的攻击者触发在“jobname”请求参数中指定的作业版本。(CVE-2023-30522)
- Jenkins Report Portal 插件 0.5 及更早版本会将未加密的 ReportPortal 访问令牌存储在 Jenkins 控制器上的作业 config.xml 文件中以作为配置的一部分,因此具有项目/扩展读取权限或 Jenkins 控制器文件系统访问权限的用户可查看这些标记。(CVE-2023-30523)
- Jenkins Report Portal 插件 0.5 及更早版本未对配置表单上显示的 ReportPortal 访问令牌进行掩码,这增加了攻击者观察和捕获令牌的可能性。(CVE-2023-30524)
- Jenkins Report Portal 插件 0.5 及更早版本中存在一个跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者使用其指定的不记名令牌认证连接到其指定的 URL。
(CVE-2023-30525)
- Jenkins Report Portal 插件 0.5 及更早版本中存在一个缺少权限检查漏洞,该漏洞允许具有“全局/读取”权限的攻击者使用其指定的不记名令牌认证连接到其指定的 URL。(CVE-2023-30526)
- Jenkins WSO2 Oauth 插件 1.0 及更早版本会将未加密的 WSO2 Oauth 客户端机密存储在 Jenkins 控制器上的全局 config.xml 文件中,因此具有 Jenkins 控制器文件系统访问权限的用户可查看此密钥。(CVE-2023-30527)
- Jenkins WSO2 Oauth 插件 1.0 及更早版本未对全局配置表单上的 WSO2 Oauth 客户端密码进行掩码,这增加了攻击者观察和捕获该密钥的可能性。(CVE-2023-30528)
- Jenkins Lucene-Search 插件 387.v938a_ecb_f7fe9 及更早版本不需要针对 HTTP 端点的 POST 请求,从而允许攻击者为数据库重新编制索引。(CVE-2023-30529)
- Jenkins Consul KV Builder 插件 2.0.13 及更低版本会将其全局配置文件中未加密的 HashiCorp Consul ACL 令牌存储在 Jenkins 控制器上,而拥有 Jenkins 控制器文件系统访问权限的用户可在此查看此密钥。(CVE-2023-30530)
- Jenkins Consul KV Builder 插件 2.0.13 及更早版本未对全局配置表单上的 HashiCorp Consul ACL 令牌进行掩码,这增加了攻击者观察和捕获该密钥的可能性。
(CVE-2023-30531)
- Jenkins TurboScript 插件 1.3 及更早版本中存在缺少权限检查漏洞,该漏洞允许具有项目/读取权限的攻击者触发与攻击者指定的存储库相对应的作业版本。(CVE-2023-30532)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级至 Jenkins Enterprise 或 Jenkins Operations Center 2.346.40.0.15 或更高版本。另见
插件详情
严重性: High
ID: 174253
文件名: cloudbees-security-advisory-2023-04-12.nasl
版本: 1.1
类型: combined
代理: windows, macosx, unix
系列: CGI abuses
发布时间: 2023/4/13
最近更新时间: 2023/10/24
配置: 启用全面检查
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2023-30525
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:cloudbees:jenkins
必需的 KB 项: installed_sw/Jenkins
易利用性: No known exploits are available
补丁发布日期: 2023/4/12
漏洞发布日期: 2023/4/12
参考资料信息
CVE: CVE-2023-30513, CVE-2023-30514, CVE-2023-30515, CVE-2023-30516, CVE-2023-30517, CVE-2023-30518, CVE-2023-30519, CVE-2023-30520, CVE-2023-30521, CVE-2023-30522, CVE-2023-30523, CVE-2023-30524, CVE-2023-30525, CVE-2023-30526, CVE-2023-30527, CVE-2023-30528, CVE-2023-30529, CVE-2023-30530, CVE-2023-30531, CVE-2023-30532