本报告公布了以下Jenkins可交付成果中的漏洞:必威国际有限公司
必威国际有限公司Jenkins 2.299和更早的版本,LTS 2.289.1和更早的版本允许用户取消队列项目和中止具有Item/ cancel权限的作业的构建,即使他们没有Item/Read权限。
必威国际有限公司Jenkins 2.300, LTS 2.289.2要求用户除了具有项目/取消权限外,还具有适用类型的项目/阅读权限。
作为Jenkins早期版本的一个解决方案,不要向没有Item/Read权限的用必威国际有限公司户授予Item/Cancel权限。
必威国际有限公司Jenkins 2.299及更早版本,LTS 2.289.1及更早版本在登录时不会使现有会话无效。这允许攻击者使用社会工程技术获得对Jenkins的管理员访问权。必威国际有限公司
该漏洞在Jenkins 2.266和LTS 2.277.1中引入。必威国际有限公司
必威国际有限公司Jenkins 2.300, LTS 2.289.2在登录时使现有会话无效。
|
请注意 |
在出现问题的情况下,管理员可以通过设置Java系统属性hudson.security.SecurityRealm.sessionFixationProtectionMode来2,或通过将该系统属性设置为完全禁用该修复0. |
Selenium HTML报告Plugin 1.0和更早版本没有配置它的XML解析器来防止XML外部实体(XXE)攻击。
这使得攻击者能够控制使用此插件解析的报告文件,让Jenkins解析使用外部实体从Jenkins控制器提取秘密或服务器端请求伪造的精心制作的报告文件。必威国际有限公司
Plugin 1.1禁用XML解析器的外部实体解析。
CAS Plugin 1.6.0和更早的版本不正确地判定登录后的重定向URL是合法指向Jenkins的。必威国际有限公司
这允许攻击者通过让用户访问Jenkins URL来执行钓鱼攻击,该URL将在身份验证成功后将用户转发到不同的站点。必威国际有限公司
CAS Plugin 1.6.1只重定向到相对(Jenkins) url。必威国际有限公司
request - Plugin Plugin 2.2.6及更早版本不执行HTTP端点的权限检查。
这允许具有Overall/Read权限的攻击者查看挂起的请求列表。
Plugin 2.2.7需要Overall/ administrtor权限来查看挂起的请求列表。
|
请注意 |
前面的句子最初表示,新的要求是Overall/Read permission。这一说法是错误的,已被修正到2021年07月05日。 |
Plugin 2.2.12和更早版本不需要POST请求来请求和应用更改,导致跨站请求伪造(CSRF)漏洞。
这些漏洞允许攻击者创建请求和/或让管理员应用挂起的请求,如重命名或删除作业、删除构建等。
Plugin 2.2.13为受影响的HTTP端点要求POST请求。
这个问题在request - Plugin Plugin 2.2.8中得到了部分修复,在一些受影响的HTTP端点需要POST请求,但是允许管理员应用挂起请求的端点在2.2.13之前仍然不受保护。
request - Plugin Plugin 2.2.7及更早版本不执行HTTP端点的权限检查。
这允许具有Overall/Read权限的攻击者将测试电子邮件发送到攻击者指定的电子邮件地址。
插件2.2.8要求总体/管理权限发送测试邮件。
这些版本包括对上述漏洞的修复。除非另有说明,所有以前的版本都被认为受到这些漏洞的影响。
詹金斯计必威国际有限公司划想要感谢记者们发现并报告这些漏洞: