必威国际有限公司詹金斯安全咨询2019-11-21

脚本安全插件中的沙盒保护可以通过闭包默认参数表达式来规避。

这使得攻击者能够指定并运行沙盒脚本，在Jenkins控制器JVM的上下文中执行任意代码。必威国际有限公司

这些表达式现在受到沙盒保护。

支持核心插件没有验证为“删除支持包”特性提交的路径。这允许用户删除运行Jenkins的操作系统用户帐户可以访问的Jenkins控制器文件系统上的任意文件。必威国际有限公司

此外，该端点没有执行权限检查，允许具有Overall/Read权限的用户删除支持包和任何名称/路径已知的任意其他文件。

Support Core Plugin现在只允许通过这个特性删除UI上列出的支持包和相关文件。它还确保只有具有“下载包”权限的用户才能删除支持包。

Jira Plugin允许定义每个文件夹的Jira站点。

此特性的凭据查找没有设置适当的上下文，从而允许使用系统范围的凭据，否则将保留在全局配置中使用。这允许对文件夹具有Item/Configure权限的用户访问他们无权访问的凭证，并可能捕获它们。

Jira Plugin现在为证书查找定义了适当的文件夹上下文。作为一个副作用，现有的每个文件夹Jira站点可能会失去对已经配置的系统范围的凭证的访问权，就好像一开始没有指定凭证一样。

锚容器图像扫描插件存储一个锚。IO服务密码在作业中未加密config . xml文件作为其配置的一部分。具有Extended Read权限或访问Jenkins控制器文件系统的用户可以查看该凭据。必威国际有限公司

受影响的功能已弃用，受影响的锚锚。IO服务已于2018年底关闭，受影响的功能已被移除。密码将在再次保存后从作业配置中删除。

Spira Importer Plugin在其全局配置文件中存储了一个未加密的凭据com.inflectra.spiratest.plugins.SpiraBuilder.xmlJenkins必威国际有限公司控制器上。能够访问Jenkins控制器文件系统的用户可以查看该凭据。必威国际有限公司

Spira导入器插件现在存储这个凭证加密后，它的配置再次保存。

谷歌计算引擎插件连接由该插件启动的虚拟机时，没有使用SSH主机密钥校验。这种验证的缺乏可能被MitM攻击者滥用，在没有警告的情况下拦截到攻击者指定的构建代理的这些连接。

谷歌计算引擎插件现在在代理上执行任何命令之前验证SSH主机密钥。

谷歌计算引擎插件没有验证多个自动完成API端点上的权限。这允许具有Overall/Read权限的用户查看关于正在运行的云环境的各种元数据。

谷歌计算引擎插件现在需要适当的作业/配置权限来查看这些元数据。

谷歌计算引擎插件不需要API端点上的POST请求。这个CSRF漏洞允许攻击者提供新的代理。

谷歌计算引擎插件现在需要此API端点的POST请求。

QMetry for JIRA -测试管理插件存储凭证未加密的工作config . xmlJenkins控制器上的文必威国际有限公司件作为其构建后步骤配置的一部分。具有Extended Read权限或访问Jenkins控制器文件系统的用户可以查看该凭据。必威国际有限公司

QMetry for JIRA -测试管理插件现在存储这些凭证加密后，再次保存作业配置。

QMetry for JIRA - Test Management Plugin将凭据存储为其构建后步骤配置的一部分。

虽然从JIRA - Test Management Plugin 1.13的QMetry开始，密码就被加密存储在磁盘上，但它是作为配置表单的一部分以明文传输的。这可能导致通过浏览器扩展、跨站点脚本漏洞和类似情况暴露密码。

截至本报告发布时，还没有解决办法。