リモートWebサーバーで実行されているJenkins EnterpriseまたはJenkins Operations Centerのバージョンは、2.289.2.2より前の2.x、2.249.31.0.6より前の2.249.x、2.277.40.0.1より前の2.277.xです。そのため、以下の複数の脆弱性の影響を受けます。

  - Jenkinsの脆弱なバージョンにより、アイテム/読み取り権限がない場合でも、ユーザーがキューアイテムをキャンセルし、アイテム/キャンセルの権限があるジョブのビルドを中止できます。（CVE-2021-21670）

  - Jenkinsの脆弱なバージョンは、ログイン時に以前のセッションを無効化しないため、セッション固定攻撃に対して脆弱です。（CVE-2021-21671）

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Jenkins EnterpriseおよびOperations Center < 2.249.31.0.6/2.277.40.0.1/2.289.2.2の複数の脆弱性（CloudBeesセキュリティアドバイザリ2021年6月30日）

high Nessus プラグイン ID 153977

バージョン 1.4