此建议宣布以下Jenkins交付成果中的漏洞:必威国际有限公司
脚本安全插件1.72和更早版本不能正确转义进程内脚本审批页面上挂起或批准的类路径条目。
这将导致能够配置沙盒脚本的用户利用存储的跨站点脚本编制(XSS)漏洞。
脚本安全插件1.73转义挂起和批准的类路径条目,然后在Jenkins UI中呈现它们。必威国际有限公司
Swarm Plugin添加API端点来添加或删除代理标签。在Swarm Plugin 3.20和更早的版本中,这些只需要一个全局的Swarm秘密来使用,并且不需要执行常规的权限检查。这允许具有Agent/Create权限的用户添加或删除任何代理的标签。
此外,这些API端点不需要POST请求,这导致了跨站点请求伪造(CSRF)漏洞。
Swarm Plugin 3.21需要POST请求和受影响的代理到这些端点的Agent/Configure权限。它不再对这些API端点使用全局Swarm秘密。
ECharts API Plugin 4.7.0-3及更早版本在呈现图表时不会转义解析器标识符。
这将导致一个存储的跨站点脚本(XSS)漏洞,可被具有Job/Configure权限的用户利用。
ECharts API Plugin 4.7.0-4转义解析器标识符。
ECharts API Plugin 4.7.0-3和更早版本没有转义趋势图中构建的显示名称。
这将导致一个存储的跨站点脚本(XSS)漏洞,可被具有运行/更新权限的用户利用。
ECharts API Plugin 4.7.0-4转义显示名称。
Compact Columns Plugin 1.11及更早版本在工具提示中显示未处理的工作描述。
这将导致一个存储的跨站点脚本漏洞,可被具有Job/Configure权限的用户利用。
Compact Columns Plugin 1.12将配置的标记格式化器应用到工具提示中显示的职位描述。
Selenium Plugin 3.141.59及更早版本对其HTTP端点没有CSRF保护。
这允许攻击者执行以下操作:
重新启动Selenium Grid hub。
删除或替换插件配置。
在特定节点上启动、停止或重新启动Selenium配置。
通过仔细选择配置参数,这些操作可以导致Jenkins控制器上的OS命令注入。必威国际有限公司
截至本报告发布时,还没有解决办法。
必威国际有限公司Jenkins限制对作业配置XML数据的访问(config . xml)到具有Job/ExtendedRead权限的用户,通常隐含着Job/Configure权限。项目继承插件有几个作业检查功能,包括API URL/工作/…/ getConfigAsXML它的继承项目作业类型做类似的事情。
项目继承插件19.08.02和更早版本不检查这个新端点的权限,授予每个具有job /Read权限的用户对作业配置XML数据的访问权。
此外,存储在作业配置中的秘密的加密值不会像由config . xml没有Job/Configure权限的用户使用的API。
截至本报告发布时,还没有解决办法。
Subversion Partial Release Manager Plugin 1.0.1及更早版本没有转义存储库URL字段表单验证的错误消息。
这将导致一个反映的跨站脚本(XSS)漏洞,该漏洞也可以被具有Job/Configure权限的用户利用,类似于存储的跨站脚本漏洞。
截至本报告发布时,还没有解决办法。
Play Framework Plugin中的表单验证端点执行玩命令来验证给定的输入文件。
Play Framework Plugin 1.0.2和更早的版本允许用户指定路径玩命令。必威国际有限公司这将导致操作系统命令注入漏洞,用户可以利用该漏洞将此类文件存储在Jenkins控制器上(例如,通过归档工件)。必威国际有限公司
截至本报告发布时,还没有解决办法。
这些版本包括对上述漏洞的修复。除非另有说明,所有以前的版本都被认为受到这些漏洞的影响。
在发布此建议时,以下插件没有可用的补丁:
詹金斯项必威国际有限公司目感谢记者们的发现报告这些漏洞: