リモートWebサーバーで実行されているJenkins EnterpriseまたはJenkins Operations Centerのバージョンは、2.303.1.6より前の2.x、2.249.32.0.2より前の2.249.x、2.277.41.0.2より前の2.277.xです。そのため、以下を含む複数の脆弱性による影響を受けます：

  - Jenkins Code Coverage APIプラグイン1.4.0以前では、ディスクから逆シリアル化されるJavaオブジェクトにJenkins JEP-200逆シリアル化保護が適用されないため、リモートコード実行の脆弱性が発生します。
    （CVE-2021-21677）

  - Jenkins SAMLプラグイン2.0.7以前では、攻撃者がJenkinsのターゲットURLのCSRF保護をバイパスするURLを細工する可能性があります。（CVE-2021-21678）

  - Jenkins Azure ADプラグイン179.vf6841393099e以前では、攻撃者がJenkinsのターゲットURLのCSRF保護をバイパスするURLを細工する可能性があります。（CVE-2021-21679）

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Jenkins EnterpriseおよびOperations Center < 2.249.32.0.2/2.277.41.0.2/2.303.1.6の複数の脆弱性（CloudBeesセキュリティアドバイザリ2021年8月31日）

high Nessus プラグイン ID 153890

バージョン 1.5