必威国际有限公司Jenkins安全咨询2020-03-09

在脚本安全插件1.70和更早的沙箱保护可以通过以下方式规避:

这允许攻击者能够在Jenkins控制器JVM的上下文中指定和运行沙盒脚本以执行任意代码。必威国际有限公司

脚本安全插件1.71具有额外的限制和Sanity检查，以确保无法构建超级构造函数而不会被沙箱拦截。此外，它还拦截方法呼叫实现的对象groovyintercext作为呼叫GroovyObject#invokeMethod（字符串，对象），它位于危险签名列表中，不应批准在沙箱中使用。

Git Plugin 4.2.0及更早版本不会逃逸Microsoft TFS字段表单验证的存储库URL的错误消息。

这导致存储的跨站点脚本漏洞，可以由具有作业/配置权限的用户利用。

Git Plugin 4.2.1会转义错误消息的受影响部分。

Timestamper插件1.11.1及更早版本不会转义或消除用于在Console输出中显示Console输出中的时间戳的HTML格式。

这会导致存储的跨站点脚本漏洞，具有总体/管理权限的用户可以利用该漏洞进行攻击。

timestamper插件1.11.2消毒时间戳的HTML格式，只允许基本，安全的HTML格式。

Cobertura插件1.15及更早版本不会配置其XML解析器以防止XML外部实体（XXE）攻击。

这允许用户能够控制“发布Cobertura覆盖报告”构建后步骤的输入文件，让Jenkins解析使用外部实体从Jenkins控制器提取秘密或服务器端请求伪造的精心制作的文件。必威国际有限公司

Cobertura Plugin 1.16为其XML解析器禁用外部实体解析。

Cobertura插件1.15及更早版本不验证其解析的XML文件中的文件路径。

这使得攻击者能够控制覆盖报告的内容，覆盖Jenkins控制器文件系统上的任何文件。必威国际有限公司

Cobertura插件1.16清理文件路径以防止从基本目录转义。

Audit Trail Plugin 3.2和更早的版本不会转义URL Patterns字段表单验证的错误消息。

这会导致反射的跨站点脚本漏洞，具有总体/管理权限的用户也可以利用该漏洞进行类似于存储的跨站点脚本漏洞的攻击。

Audit Trail Plugin 3.3转义错误消息中受影响的部分。

P4插件1.10.10及更早版本在几个HTTP端点中不执行权限检查。这允许具有总体/读取访问的用户来触发构建或在Perforce存储库中添加标签。

此外，这些端点不需要POST请求，从而导致跨站请求伪造(CSRF)漏洞。

P4插件1.10.11要求对受影响的HTTP端点进行POST请求和适当的用户权限。

Logstash Plugin将凭证存储在其全局配置文件中必威国际有限公司jenkins.plugins.logstash.logstashconfiguration.xml.在Jenkin必威国际有限公司s控制器上作为其配置的一部分。

虽然凭证存储加密的磁盘上,但在传输纯文本的一部分配置Logstash插件形式的2.3.1和早些时候。这可能会通过浏览器扩展，跨站点脚本漏洞和类似情况导致凭证曝光。

Logstash插件2.3.2在其全局配置中传输加密的凭据。

Rundeck插件3.6.6及更早版本不会配置其XML解析器以防止XML外部实体（XXE）攻击。

这允许具有总体/读访问的用户使用Jenkins通过使用外部实体从Jenkins控制器或服务器端请求伪造的必威国际有限公司秘密提取XML数据来解析jenkins。

Rundeck Plugin 3.6.7禁用其XML解析器的外部实体解析。

Zephyr企业测试管理插件1.9.1及更早版本在全局配置文件中以纯文本形式存储其Zephyr密码com.thed.zephyr.必威国际有限公司jenkins.reporter.ZeeReporter.xml．具有Jenkins控制器文件系统访问权限的用户可以查看此密码。必威国际有限公司

ZephyR企业测试管理插件1.10集成了凭证插件．

Mac Plugin 1.1.0及更早版本在连接由插件启动的Mac Cloud主机时不使用SSH主机密钥验证。这种缺乏验证的情况可能会被滥用，使用中间人攻击来拦截这些连接以构建代理。

Mac插件1.2.0在连接到代理时验证SSH主键。

Mac插件1.1.0及更早版本在实现表单验证的方法上不执行权限检查。这允许使用通过另一种方法获取的攻击者指定的凭据ID来连接到Jenkins的总体/读取访问，以必威国际有限公司连接到攻击者指定的SSH主机，捕获存储在Jenkins中的凭据。

此外，这种表单验证方法不需要POST请求，从而导致跨站点请求伪造(CSRF)漏洞。

此表单验证方法需要Mac插件1.2.0中的Post请求和总体/管理权限。

存储库连接器插件在其全局配置文件中存储凭据org.jvnet.hudson.plugins.repositoryconnector.RepositoryConfiguration.xml在Jenkin必威国际有限公司s控制器上作为其配置的一部分。

当凭证被加密存储在磁盘上时，它们将通过Repository Connector Plugin 1.2.6和更早版本以明文形式传输，作为配置表单的一部分。这可能导致通过浏览器扩展、跨站点脚本漏洞和类似情况暴露凭据。

截至本报告发表之时，还没有解决办法。

Sonar Quality Gates插件在其全局配置文件中存储凭据org.quality.gates.必威国际有限公司jenkins.plugin.GlobalConfig.xml在Jenkin必威国际有限公司s控制器上作为其配置的一部分。

虽然凭据在磁盘上加密存储，但它们以纯文本传输，作为Sonar质量门插件1.3.1及更早版本的配置表单的一部分。这可能会通过浏览器扩展，跨站点脚本漏洞和类似情况导致凭证曝光。

截至本报告发表之时，还没有解决办法。

Quality Gates插件在其全局配置文件中存储凭据quality.gates.必威国际有限公司jenkins.plugin.globalconfig.xml.在Jenkin必威国际有限公司s控制器上作为其配置的一部分。

虽然凭证是加密存储在磁盘上的，但Quality Gates Plugin 2.5及更早版本的配置表单会以纯文本形式传输凭证。这可能会通过浏览器扩展，跨站点脚本漏洞和类似情况导致凭证曝光。

截至本报告发表之时，还没有解决办法。

Subversion Release Manager Plugin 1.2和更早版本的版本没有对Repository URL字段表单验证的错误消息进行转义。

这会导致反射的跨站点脚本漏洞，具有作业/配置权限的用户也可以利用该漏洞进行类似于存储的跨站点脚本漏洞的攻击。

截至本报告发表之时，还没有解决办法。

Backlog插件在工作中存储凭证config.xml文件作为其配置的一部分。

当凭证被加密存储在磁盘上时，它们以纯文本的形式作为配置表单的一部分由Backlog Plugin 2.4和更早的版本进行传输。具有扩展读权限的用户可以查看这些凭据。

截至本报告发表之时，还没有解决办法。

Zephyr的JIRA测试管理插件1.5和更早的存储JIRA凭证未加密在其全局配置文件com.thed.zephyr.必威国际有限公司jenkins.reporter.ZfjReporter.xml在詹金斯控制器必威国际有限公司上。有权访问Jenkins controller文件系统的用户可以查看这些凭据。

截至本报告发表之时，还没有解决办法。

OpenShift Deployer插件在其全局配置文件中存储凭据org.必威国际有限公司jenkinsci.plugins.openshift.DeployApplication.xml在Jenkin必威国际有限公司s控制器上作为其配置的一部分。

当凭证被加密存储在磁盘上时，OpenShift Deployer插件1.2.0和更早版本会将其以明文形式传输，作为配置表单的一部分。这可能导致通过浏览器扩展、跨站点脚本漏洞和类似情况暴露凭据。

截至本报告发表之时，还没有解决办法。

Deployhub插件在作业中存储凭据config.xml文件作为其配置的一部分。

虽然凭证是加密存储在磁盘上的，但DeployHub Plugin 8.0.14及更早版本以纯文本的形式将它们作为配置表单的一部分进行传输。具有扩展读权限的用户可以查看这些凭据。

截至本报告发表之时，还没有解决办法。

Skytap Cloud Ci插件在工作中存储凭证config.xml文件作为其配置的一部分。

虽然凭据以加密方式存储在磁盘上，但作为Skytap Cloud CI Plugin 2.07及更早版本配置表单的一部分，它们以明文形式传输。具有扩展读取权限的用户可以查看这些凭据。

截至本报告发表之时，还没有解决办法。

Literate Plugin 1.0及更早版本没有配置其YAML解析器以防止任意类型的实例化。这导致远程代码执行漏洞可被能够提供YAML输入文件以读取插件构建步骤的用户利用。

截至本报告发表之时，还没有解决办法。

CryptoMove Plugin 0.1.33及更早版本允许将操作系统命令配置作为构建步骤配置的一部分来执行。

此命令将在Jenkins Controller上执行作为运行Jenkins必威国际有限公司的OS用户帐户，允许用户在Jenkins控制器上执行任意操作系统命令的用户允许用户执行权限。

截至本报告发表之时，还没有解决办法。