检测

Jenkins 插件多个漏洞 (2023-10-25)

high Nessus 插件 ID 183879

语言:

简介

远程 Web 服务器主机上运行的应用程序受到多个漏洞影响

描述

根据其自我报告的版本号,远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响:

 - 高危 GitHub 插件 1.37.3 及更早版本在显示更改时不会转义构建页面上的 GitHub 项目 URL。这会导致具有项目/配置权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。- GitHub 插件 1.37.3.1 会在显示更改时转义构建页面上的 GitHub 项目 URL。(CVE-2023-46650)

 - 中危警告插件 10.5.0 及更早版本没有为凭据查找设置适当的上下文,从而允许使用系统范围的凭据,否则会为全局配置保留。这将允许拥有“项目/配置”权限的攻击者访问并捕获他们无权获得的凭据。
 警告插件 10.5.1 可为凭据查找定义相应的上下文。(CVE-2023-46651)

 - 中危 lambdatest-automation 插件 1.20.9 及更早版本未在 HTTP 端点中执行权限检查。这将允许具有全局/读取权限的攻击者枚举存储在 Jenkins 中 LAMBDATEST 凭据的凭据 ID。这些可用作攻击的一部分,以使用其他漏洞捕获凭据。lambdatest-automation 插件 1.20.10 中的凭据 ID 枚举需要全局/管理员权限。(CVE-2023-46652)

 - 低危 lambdatest-automation 插件 1.20.10 及更早版本可从信息级别记录 LAMBDATEST 凭据访问标记。这可导致标记通过默认系统日志意外暴露。 lambdatest-automation 插件 1.21.0 不会再记录 LAMBDATEST 凭证访问标记。(CVE-2023-46653)

 - 在高危 CloudBees CD 插件中,先前从代理复制到控制器的构件在通过“CloudBees CD - 发布构件”后构建步骤发布后将被删除。在此清理过程中,CloudBees CD 插件 1.1.32 及更早版本会遵循指向预期目录之外的位置的符号链接。这允许攻击者配置作业以删除 Jenkins 控制器文件系统上的任意文件。CloudBees CD 插件 1.1.33 会删除符号链接,而非遵循这些链接。
 (CVE-2023-46654)

 - 中危 CloudBees CD 插件会暂时将文件从代理工作区复制到控制器中,以准备在“CloudBees CD - 发布构建”后构建步骤中发布它们。在收集要发布的文件列表时,CloudBees CD 插件 1.1.32 及更早版本会遵循指向控制器上临时目录之外位置的符号链接。这允许攻击者配置作业,以将任意文件从 Jenkins 控制器文件系统发布到之前配置的 CloudBees CD 服务器。CloudBees CD 插件 1.1.33 可确保仅发布位于预期目录中的文件。(CVE-2023-46655)

 - 低危 Multibranch 扫描 Webhook Trigger 插件 1.0.9 及更早版本在检查所提供的与所预期的 Webhook 标记是否相等时不会使用常数时间比较算法。这可能允许攻击者使用统计方法来获取有效的 webhook 标记。在发布此公告时,尚无修复方法。了解我们为何宣布此问题。(CVE-2023-46656)

 - 低危 Gogs 插件 1.0.15 及更早版本在检查所提供的与所预期的 Webhook 标记是否相等时不会使用常数时间比较算法。这可能允许攻击者使用统计方法来获取有效的 webhook 标记。在发布此公告时,尚无修复方法。了解我们为何宣布此问题。(CVE-2023-46657)

 - 低危 MSTeams Webhook Trigger 插件 0.1.1 及更早版本在检查所提供的与所预期的 Webhook 标记是否相等时不会使用常数时间比较算法。这可能允许攻击者使用统计方法来获取有效的 webhook 标记。在发布此公告时,尚无修复方法。
 了解我们为何宣布此问题。(CVE-2023-46658)

 - 高危 Edgewall Trac 插件 1.13 及更早版本不会转义构建页面上的 Trac 网站 URL。这会导致具有项目/配置权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。在发布此公告时,尚无修复方法。了解我们为何宣布此问题。
 (CVE-2023-46659)

 - 低危 Zanata 插件 0.6 及更早版本在检查所提供的与所预期的 Webhook 标记哈希是否相等时不会使用常数时间比较算法。这可能允许攻击者使用统计方法来获取有效的 webhook 标记。在发布此公告时,尚无修复方法。
 了解我们为何宣布此问题。(CVE-2023-46660)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

将 Jenkins 插件更新到以下版本:
 - CloudBees CD 插件升级至 1.1.33 或更高版本
 - Edgewall Trac 插件:参见供应商公告
 - GitHub 插件升级至 1.37.3.1 或更高版本
 - Gogs 插件:参见供应商公告
 - lambdatest-automation 插件升级至 1.20.10 / 1.21.0 或更高版本
 - MSTeams Webhook Trigger 插件:参见供应商公告
 - Multibranch 扫描 Webhook Trigger 插件:参见供应商公告
 - 警告插件升级至 10.5.1 或更高版本
 - Zanata 插件:参见供应商公告

有关更多详细信息,请参阅供应商公告。

另见

https://jenkins.io/security/advisory/2023-10-25

插件详情

严重性: High

ID: 183879

文件名: jenkins_security_advisory_2023-10-25_plugins.nasl

版本: 1.2

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2023/10/25

最近更新时间: 2023/11/2

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: High

基本分数: 8.5

时间分数: 6.3

矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:C/A:C

CVSS 分数来源: CVE-2023-46654

CVSS v3

风险因素: High

基本分数: 8.1

时间分数: 7.1

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必需的 KB 项: installed_sw/Jenkins

易利用性: No known exploits are available

补丁发布日期: 2023/10/25

漏洞发布日期: 2023/10/25

参考资料信息

CVE: CVE-2023-46650, CVE-2023-46651, CVE-2023-46652, CVE-2023-46653, CVE-2023-46654, CVE-2023-46655, CVE-2023-46656, CVE-2023-46657, CVE-2023-46658, CVE-2023-46659, CVE-2023-46660