Jenkins公告主框架及多款插件存在高危漏洞(2020.8.12)

2020-08-13 10:37:43
Jenkins官方发布公告,修复多款插件存在的安全漏洞。漏洞可能导致跨站脚本(XSS)攻击、跨站点请求伪造(CSRF)攻击,或密码泄露。

Jenkins官方发布公告,修复主框架及多款插件存在的安全漏洞。漏洞可能导致跨站脚本(XSS)攻击、跨站点请求伪造(CSRF)攻击,或密码泄露。腾讯安全专家建议用户参考通告内容,将存在风险的插件升级到安全版本。

 

公告存在漏洞的组件(主框架、插件)包括:

组件名称

风险等级

存在漏洞的版本

修复版本

Jenkins weekly

<2.251

2.252

Jenkins LTS

<2.235.3

2.235.4

Email Extension Plugin

<2.73

2.74

Flaky Test Handler Plugin

<1.0.4

待修复

Pipeline Maven Integration Plugin

<3.8.2

3.8.3

Yet Another Build Visualizer Plugin

<1.11

1.12


以下为漏洞详情

1.CVE-2020-2229|Stored XSS vulnerability in help icons 

漏洞等级:高 

影响版本:

Jenkins 2.251和更早的版本,LTS 2.235.3和更早版本 

漏洞导致跨站脚本(XSS)攻击。

 

2.CVE-2020-2230|Stored XSS vulnerability in project naming strategy 

漏洞等级:高 

影响版本:

Jenkins 2.251和更早版本,LTS 2.235.3和更早版本 

漏洞导致跨站脚本(XSS)攻击。

 

3.CVE-2020-2231|Stored XSS vulnerability in 'Trigger builds remotely' 

漏洞等级:高 

影响版本:

Jenkins 2.251及更早版本,LTS 2.235.3及更早版本 

漏洞导致跨站脚本(XSS)攻击。

 

4.CVE-2020-2232|SMTP password transmitted and displayed in plain text by Email Extension Plugin 

漏洞等级:低 

影响版本:Email Extension Plugin 

电子邮件扩展插件将SMTP密码存储在Jenkins主服务器上的全局配置文件中hudson.plugins.emailext.ExtendedEmailPublisher.xml 

当此密码以加密方式存储在磁盘上时,它会通过电子邮件扩展插件2.722.73作为配置表单的一部分以纯文本形式传输和显示。这将导致密码泄露。

 

5.CVE-2020-2233|Missing permission check in Pipeline Maven Integration Plugin allows enumerating credentials IDs 

Pipeline Maven集成插件缺少权限检查,可以枚举凭据ID

漏洞等级:中 

影响版本:

Pipeline Maven集成插件3.8.2和更早版本

 

6.CVE-2020-2234 (permission check), CVE-2020-2235 (CSRF)

CSRF vulnerability and missing permission check in Pipeline Maven Integration Plugin allow capturing credentials 

Pipeline Maven集成插件中的CSRF漏洞和缺少权限检查允许捕获凭据 

漏洞等级:高 

影响版本:

Pipeline Maven集成插件3.8.2和更早版本 

表单验证的方法中不执行权限检查,攻击者可能捕获存储在Jenkins中的凭据。此外,此表单验证方法不需要POST请求,从而导致跨站点请求伪造(CSRF)漏洞。

 

7.CVE-2020-2236|Stored XSS vulnerability in Yet Another Build Visualizer Plugin 

Build Visualizer插件中的XSS漏洞 

漏洞等级:高 

影响版本:

Build Visualizer插件1.11和更早版本

 

8.CVE-2020-2237|CSRF vulnerability in Flaky Test Handler Plugin 

Flaky测试处理程序插件中的CSRF漏洞 

漏洞等级:中 

影响版本:

Flaky Test Handler Plugin 1.0.4和更早版本 

不需要“ Deflake this build”功能的POST请求,从而导致跨站点请求伪造(CSRF)漏洞。

 

参考链接:

https://www.jenkins.io/security/advisory/2020-08-12/#SECURITY-1957

最新资讯