Jenkins官方发布公告,修复主框架及多款插件存在的安全漏洞。漏洞可能导致跨站脚本(XSS)攻击、跨站点请求伪造(CSRF)攻击,或密码泄露。腾讯安全专家建议用户参考通告内容,将存在风险的插件升级到安全版本。
Jenkins是一款由Java编写的开源的持续集成工具。Jenkins提供了软件开发的持续集成服务。
Jenkins公告存在漏洞的组件(主框架、插件)包括:
组件名称
|
风险等级
|
存在漏洞的版本
|
修复版本
|
Jenkins weekly
|
高
|
<2.251
|
2.252
|
Jenkins LTS
|
高
|
<2.235.3
|
2.235.4
|
Email Extension Plugin
|
低
|
<2.73
|
2.74
|
Flaky Test Handler Plugin
|
中
|
<1.0.4
|
待修复
|
Pipeline Maven Integration Plugin
|
高
|
<3.8.2
|
3.8.3
|
Yet Another Build Visualizer Plugin
|
高
|
<1.11
|
1.12
|
以下为漏洞详情
1.CVE-2020-2229|Stored XSS vulnerability in help icons
漏洞等级:高
影响版本:
Jenkins2.251和更早的版本,LTS 2.235.3和更早版本
漏洞导致跨站脚本(XSS)攻击。
2.CVE-2020-2230|Stored XSS vulnerability in project naming strategy
漏洞等级:高
影响版本:
Jenkins2.251和更早版本,LTS 2.235.3和更早版本
漏洞导致跨站脚本(XSS)攻击。
3.CVE-2020-2231|Stored XSS vulnerability in ‘Trigger builds remotely’
漏洞等级:高
影响版本:
Jenkins 2.251及更早版本,LTS 2.235.3及更早版本
漏洞导致跨站脚本(XSS)攻击。
4.CVE-2020-2232|SMTP password transmitted and displayed in plain textby Email Extension Plugin
漏洞等级:低
影响版本:
EmailExtension Plugin
电子邮件扩展插件将SMTP密码存储在Jenkins主服务器上的全局配置文件中hudson.plugins.emailext.ExtendedEmailPublisher.xml。
当此密码以加密方式存储在磁盘上时,它会通过电子邮件扩展插件2.72和2.73作为配置表单的一部分以纯文本形式传输和显示。这将导致密码泄露。
5.CVE-2020-2233|Missing permission check in Pipeline Maven IntegrationPlugin allows enumerating credentials IDs
PipelineMaven集成插件缺少权限检查,可以枚举凭据ID
漏洞等级:中
影响版本:
PipelineMaven集成插件3.8.2和更早版本
6.CVE-2020-2234 (permission check), CVE-2020-2235 (CSRF)
CSRF vulnerability and missing permission check in Pipeline MavenIntegration Plugin allow capturing credentials
PipelineMaven集成插件中的CSRF漏洞和缺少权限检查允许捕获凭据
漏洞等级:高
影响版本:
PipelineMaven集成插件3.8.2和更早版本
表单验证的方法中不执行权限检查,攻击者可能捕获存储在Jenkins中的凭据。
此外,此表单验证方法不需要POST请求,从而导致跨站点请求伪造(CSRF)漏洞。
7.CVE-2020-2236|Stored XSS vulnerability in Yet Another BuildVisualizer Plugin
BuildVisualizer插件中的XSS漏洞
漏洞等级:高
影响版本:
BuildVisualizer插件1.11和更早版本
8.CVE-2020-2237|CSRF vulnerability in Flaky Test Handler Plugin
Flaky测试处理程序插件中的CSRF漏洞
漏洞等级:中
影响版本:
Flaky TestHandler Plugin 1.0.4和更早版本
不需要“ Deflake this build”功能的POST请求,从而导致跨站点请求伪造(CSRF)漏洞。
参考链接:
https://www.jenkins.io/security/advisory/2020-08-12/#SECURITY-1957
原文始发于微信公众号(腾讯安全威胁情报中心):Jenkins公告多款插件存在高危漏洞(2020.8.12)