The remote Redhat Enterprise Linux 7 / 8 host has packages installed that are affected by multiple vulnerabilities as referenced in the RHSA-2021:2437 advisory.

  - python-eventlet: improper handling of highly compressed data and memory allocation with excessive size     allows DoS (CVE-2021-21419)

  - jenkins-2-plugins/matrix-auth: Incorrect permission checks in Matrix Authorization Strategy Plugin     (CVE-2021-21623)

  - jenkins: lack of type validation in agent related REST API (CVE-2021-21639)

  - jenkins: view name validation bypass (CVE-2021-21640)

  - jenkins-2-plugins/credentials: Reflected XSS vulnerability in Credentials Plugin (CVE-2021-21648)

  - kubernetes: Validating Admission Webhook does not observe some previous fields (CVE-2021-25735)

  - kubernetes: Holes in EndpointSlice Validation Enable Host Network Hijack (CVE-2021-25737)

  - golang: crypto/elliptic: incorrect operations on the P-224 curve (CVE-2021-3114)

  - gogo/protobuf: plugin/unmarshal/unmarshal.go lacks certain index validation (CVE-2021-3121)

  - openshift: Injected service-ca.crt incorrectly contains additional internal CAs (CVE-2021-3636)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The version of Jenkins Enterprise or Jenkins Operations Center running on the remote web server is 2.249.x prior to 2.249.31.0.4, or 2.x prior to 2.277.4.3. It is, therefore, affected by multiple vulnerabilities, including the following:

  - A cross-site request forgery (CSRF) vulnerability in Jenkins Xray - Test Management for Jira Plugin 2.4.0     and earlier allows attackers to connect to an attacker-specified URL using attacker-specified credentials     IDs obtained through another method, capturing credentials stored in Jenkins. (CVE-2021-21652)

  - A cross-site request forgery (CSRF) vulnerability in Jenkins P4 Plugin 1.11.4 and earlier allows attackers     to connect to an attacker-specified Perforce server using attacker-specified username and password.
    (CVE-2021-21655)

  - Jenkins Xcode integration Plugin 2.0.14 and earlier does not configure its XML parser to prevent XML     external entity (XXE) attacks. (CVE-2021-21656)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

リモートWebサーバーで実行されているJenkins EnterpriseまたはJenkins Operations Centerのバージョンは、2.249.31.0.4より前の2.249.x、2.277.4.3より前の2.xです。そのため、以下を含む複数の脆弱性による影響を受けます：

  - Jenkins Xray のクロスサイトリクエストフォージェリ (CSRF) の脆弱性 - Test Management for Jira Plugin 2.4.0 以前では、攻撃者は、別の方法で取得した攻撃者指定の認証情報 ID を使用して攻撃者指定の URL に接続し、Jenkins に保存されている認証情報をキャプチャすることができます。(CVE-2021-21652)

  - Jenkins P4 Plugin 1.11.4 以前のクロスサイトリクエストフォージェリ (CSRF) 脆弱性により、攻撃者が指定したユーザー名とパスワードを使用して、攻撃者が指定した Perforce サーバーに接続する可能性があります。
    (CVE-2021-21655)

  - Jenkins Xcode integration Plugin 2.0.14 以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。(CVE-2021-21656)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っています。

リモートのRedhat Enterprise Linux 7/8ホストにインストールされているパッケージは、RHSA-2021：2437のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  -python-eventlet：高度に圧縮されたデータの不適切な処理と過剰なサイズのメモリ割り当てにより、DoSが発生します（CVE-2021-21419）

  - jenkins-2-plugins/matrix-auth: Matrix Authorization Strategy Pluginでの不適切な権限チェック（CVE-2021-21623）

  - jenkins: エージェント関連のREST APIにおける型検証の欠如（CVE-2021-21639）

  - jenkins: ビュー名検証バイパス（CVE-2021-21640）

  - jenkins-2-plugins/credentials: Credentials Pluginにおける折り返し型XSSの脆弱性（CVE-2021-21648）

  - kubernetes：Validating Admission Webhookは一部以前のフィールドをチェックしません（CVE-2021-25735）

  - kubernetes：EndpointSlice検証における穴によりネットワークのハイジャックが可能になります（CVE-2021-25737）

  - golang：crypto/elliptic：P-224曲線での不適切な操作（CVE-2021-3114）

  -gogo / protobuf：plugin / unmarshal / unmarshal.goに特定のインデックス検証がありません（CVE-2021-3121）

  - openshift: 注入されたservice-ca.crtが追加の内部のCAを誤って含んでいます（CVE-2021-3636）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

遠端 Web 伺服器上執行的 Jenkins Enterprise 或 Jenkins Operations Center 版本為早於 2.249.31.0.4 的 2.249.x 版本或早於 2.277.4.3 的 2.x 版本。因此會受到包括以下在內的多個弱點影響：

  - Jenkins Xray - Test Management for Jira 外掛程式 2.4.0 及更早版本中存在跨網站要求偽造 (CSRF) 弱點，允許攻擊者使用透過另一種方法取得的攻擊者指定憑證 ID 連接至攻擊者指定的 URL，進而擷取儲存在 Jenkins 中的憑證。(CVE-2021-21652)

  - Jenkins P4 外掛程式 1.11.4 及更早版本中存在跨網站要求偽造 (CSRF) 弱點，允許攻擊者使用攻擊者指定的使用者名稱和密碼連接至攻擊者指定的 Perforce 伺服器。
    (CVE-2021-21655)

  - Jenkins Xcode 整合外掛程式 2.0.14 及更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。(CVE-2021-21656)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

远程 Web 服务器上运行的 Jenkins Enterprise 或 Jenkins Operations Center 版本为低于 2.249.31.0.4 的 2.249.x 或低于 2.277.4.3 的 2.x。因此，该应用程序受到多个漏洞的影响，其中包括：

  - Jenkins Xray 中存在跨站请求伪造 (CSRF) 漏洞 - Test Management for Jira 插件 2.4.0 及更低版本允许攻击者使用攻击者指定的凭据 ID（通过其他方法获取）连接到攻击者指定的 URL，从而捕获存储在 Jenkins 中的凭据。(CVE-2021-21652)

  - Jenkins P4 插件 1.11.4 及更低版本中存在跨站请求伪造 (CSRF) 漏洞，该漏洞允许攻击者使用攻击者指定的用户名和密码连接到攻击者指定的 Perforce 服务器。
    (CVE-2021-21655)

  - Jenkins Xcode 集成插件 2.0.14 及更低版本不会将其 XML 解析器配置为阻止 XML 外部实体 (XXE) 攻击。(CVE-2021-21656)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

远程 Redhat Enterprise Linux 7 / 8 主机上安装的程序包受到 RHSA-2021: 2437 公告中提及的多个弱点影响。

  - python-eventlet：不当处理高度压缩的数据并且内存分配过多导致 DoS (CVE-2021-21419)

  - jenkins-2-plugins/matrix-auth: 矩阵授权策略插件中的权限检查不正确 (CVE-2021-21623)

  - jenkins：代理相关的 REST API 中缺少类型验证 (CVE-2021-21639)

  - jenkins：视图名称验证绕过 (CVE-2021-21640)

  - jenkins-2-plugins/credentials: Credentials 插件中的反射型 XSS 漏洞 (CVE-2021-21648)

  - kubernetes：验证 Admission Webhook 时未遵守之前的某些字段 (CVE-2021-25735)

  - kubernetes：EndpointSlice 验证中的漏洞可导致主机网络劫持 (CVE-2021-25737)

  - golang：crypto/elliptic：P-224 曲线操作错误 (CVE-2021-3114)

  - gogo/protobuf：plugin/unmarshal/unmarshal.go 缺少某些索引验证 (CVE-2021-3121)

  - openshift：注入的 service-ca.crt 错误包含额外的内部 CA (CVE-2021-3636)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

遠端 Redhat Enterprise Linux 7/8 主機上安裝的套件受到 RHSA-2021: 2437 公告中提及的多個弱點影響。

  - python-eventlet：不當處理高度壓縮的資料，並且記憶體大小配置過大，這會觸發 DoS 攻擊 (CVE-2021-21419)

  - jenkins-2-plugins/matrix-auth: 矩陣授權策略外掛程式中的權限檢查不正確 (CVE-2021-21623)

  - jenkins：代理程式相關的 REST API 中缺少類型驗證 (CVE-2021-21639)

  - jenkins：檢視名稱驗證繞過 (CVE-2021-21640)

  - jenkins-2-plugins/credentials: Credentials 外掛程式中存在反射式 XSS 弱點 (CVE-2021-21648)

  - kubernetes：驗證 Admission Webhook 時未遵循之前的某些欄位 (CVE-2021-25735)

  - kubernetes：EndpointSlice 驗證中的漏洞可導致主機網路劫持 (CVE-2021-25737)

  - golang：crypto/elliptic：P-224 曲線上的錯誤作業 (CVE-2021-3114)

  - gogo/protobuf：plugin/unmarshal/unmarshal.go 缺少特定的索引驗證 (CVE-2021-3121)

  - openshift：插入的 service-ca.crt 錯誤包含其他內部 CA (CVE-2021-3636)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
152103	RHEL 7 / 8 : OpenShift Container Platform 4.8.2 packages and (RHSA-2021:2437)	Nessus	Red Hat Local Security Checks	2021/7/27	2023/12/6	high
154965	Jenkins Enterprise and Operations Center < 2.249.31.0.4 / 2.277.4.3 Multiple Vulnerabilities (CloudBees Security Advisory 2021-05-11)	Nessus	CGI abuses	2021/11/8	2022/5/9	high
154965	Jenkins Enterprise および Operations Center < 2.249.31.0.4 / 2.277.4.3の複数の脆弱性 (CloudBees セキュリティアドバイザリ 2021 年 5 月 11 日)	Nessus	CGI abuses	2021/11/8	2022/5/9	high
152103	RHEL 7/8：OpenShift Container Platform 4.8.2パッケージおよび（RHSA-2021：2437)	Nessus	Red Hat Local Security Checks	2021/7/27	2023/12/6	high
154965	Jenkins Enterprise and Operations Center < 2.249.31.0.4/2.277.4.3 多個弱點 (CloudBees 安全性公告 2021-05-11)	Nessus	CGI abuses	2021/11/8	2022/5/9	high
154965	Jenkins Enterprise 和 Jenkins Operations Center < 2.249.31.0.4/2.277.4.3 多个漏洞（CloudBees 2021 年 5 月 11 日安全公告）	Nessus	CGI abuses	2021/11/8	2022/5/9	high
152103	RHEL 7 / 8：OpenShift Container Platform 4.8.2 程序包和 (RHSA-2021: 2437)	Nessus	Red Hat Local Security Checks	2021/7/27	2023/12/6	high
152103	RHEL 7/8：OpenShift 容器平台 4.8.2 套件和 (RHSA-2021: 2437)	Nessus	Red Hat Local Security Checks	2021/7/27	2023/12/6	high

检测

插件搜索

high

high

high

high

high

high

high

high