此公告宣布了以下Jenkins交付成果中的漏洞:必威国际有限公司
脚本安全和管道:Groovy插件中的沙盒保护可以通过支持类型强制转换和类型强制的方法来规避。这允许攻击者调用任意类型的构造函数。
脚本安全性和管道:Groovy已被加强,以防止这些方法绕过沙盒保护。
可锁定资源插件没有正确转义生成的JavaScript代码中的资源名称,从而导致跨站点脚本(XSS)漏洞。
插件现在在脚本中正确地转义资源名。
Slack通知插件没有对实现表单验证的方法执行权限检查。这允许对Jenkins具有全面/读访问权限的用户使用通过另一种方法获得的攻击者指定的凭据id连必威国际有限公司接到攻击者指定的URL,捕获存储在Jenkins中的凭据。
此外,这种表单验证方法不需要POST请求,因此存在跨站点请求伪造漏洞。
此表单验证方法现在需要POST请求和Overall/ manage(用于全局配置)或Item/Configure权限(用于作业配置)。
ECS发布者插件将API令牌未加密存储在作业中config . xml文件及其在Jenkins控制器上的全局配置文件。必威国际有限公司具有Extended Read权限的用户或访问Jenkins控制器文件系统的用户可以查看这个令牌。必威国际有限公司
此外,API令牌没有使用密码表单字段从视图中屏蔽。
该插件现在将API令牌加密存储在磁盘上的配置文件中,不再将其传输给以明文形式查看配置表单的用户。
Fortify on Demand Uploader Plugin中的多个表单验证方法中缺少权限检查,允许具有整体/读取权限的用户启动到攻击者指定服务器的连接测试。
此外,表单验证方法不需要POST请求,从而导致CSRF漏洞。
表单验证方法现在需要POST请求并执行权限检查。
PRQA插件在Jenkins控制器上的全局配置文件中存储了一个未加密的密码。必威国际有限公司访问Jenkins控制器文件系统的用户可以查看此密码。必威国际有限公司
插件现在将密码加密在磁盘上的配置文件中。
Codebeamer测试结果趋势更新插件在其配置中存储用户名和密码,在作业中未加密config . xmlJenkins控制器上的文必威国际有限公司件。具有扩展读权限的用户或访问Jenkins控制器文件系统的用户可以查看此密码。必威国际有限公司
插件现在集成凭证插件.
Arxan MAM Publisher Plugin提供了一个适用的凭据id列表,允许管理员配置插件以选择要使用的凭据id。
此功能不检查权限,允许具有整体/读取权限的任何用户获得有效凭据id的列表。这些可能被用作攻击的一部分,利用另一个漏洞捕获凭据。
此插件中的凭据id枚举现在需要Overall/管理权限。
这些版本包括对上述漏洞的修复。除非另有说明,否则所有以前的版本都被认为受到这些漏洞的影响。
詹金斯项必威国际有限公司目感谢记者们的发现和报告这些漏洞: