此公告宣布了以下Jenkins交付成果中的漏洞:必威国际有限公司
必威国际有限公司Jenkins 2.286和更早的版本,LTS 2.277.1和更早的版本不会验证加载提交给config . xml节点的REST API端点。
这允许具有Computer/Configure权限的攻击者用不同类型的节点替换某个节点。
必威国际有限公司Jenkins 2.287, LTS 2.277.2验证所创建的对象类型,并拒绝非预期类型的对象。
必威国际有限公司Jenkins 2.286和更早的版本,LTS 2.277.1和更早的版本不会正确检查新创建的视图是否有允许的名称。当提交用于创建视图的表单时,该名称将在提交中包含两次。验证一个实例,但使用另一个实例创建值。
这允许具有View/Create权限的攻击者使用无效或已使用的名称创建视图。
必威国际有限公司Jenkins 2.287, LTS 2.277.2使用相同的提交值进行验证和视图创建。
插件3.9及更早版本对实现升级(常规、强制和重新执行)的HTTP端点不要求POST请求,从而导致跨站请求伪造(CSRF)漏洞。
这些漏洞允许攻击者升级构建。
插件3.9.1需要POST请求受影响的HTTP端点。
|
请注意 |
自Jenkins 2.287和LTS 2.277.2以必威国际有限公司来的安全加固防止了此漏洞的利用。 |
Micro Focus Application Automation Tools Plugin 6.7及更早版本不会在实现表单验证的方法中执行权限检查。
这允许具有整体/读取权限的攻击者使用攻击者指定的用户名和密码连接到攻击者指定的url。
此外,这些表单验证方法不需要POST请求,从而导致跨站请求伪造(CSRF)漏洞。
microfocus应用自动化工具插件6.8需要POST请求和受影响的表单验证方法的整体/管理权限。
Micro Focus Application Automation Tools Plugin 6.7及更早版本不会在表单验证响应中转义用户输入。
这将导致一个反映的跨站点脚本编制(XSS)漏洞。
microfocus应用程序自动化工具插件6.8在受影响的表单验证响应中逃避用户输入。
|
请注意 |
自Jenkins 2.275和LTS 2.263.2以必威国际有限公司来的安全加固防止了此漏洞的利用。 |
Micro Focus应用自动化工具插件6.7及更早版本无条件禁用SSL/TLS证书验证连接到服务虚拟化服务器。
microfocus应用自动化工具插件6.8不再默认无条件禁用SSL/TLS证书验证。它提供了一个选项,用于禁用连接到服务虚拟化服务器的SSL/TLS认证验证。
这些版本包括对上述漏洞的修复。除非另有说明,否则所有以前的版本都被认为受到这些漏洞的影响。
詹金斯项必威国际有限公司目感谢记者们的发现和报告这些漏洞: