Jenkins Enterprise および Operations Center < 2.249.31.0.3 / 2.277.4.2 の複数の脆弱性 (CloudBees セキュリティアドバイザリ 2021 年 5 月 5 日)
medium Nessus プラグイン ID 155629
Language:
概要
リモートの Web サーバーでホストされているジョブスケジューリング/管理システムは、複数の脆弱性の影響を受けます。説明
リモートWebサーバーで実行されているJenkins EnterpriseまたはJenkins Operations Centerのバージョンは、2.249.31.0.3より前の2.249.x、2.277.4.2より前の2.xです。そのため、以下を含む複数の脆弱性による影響を受けます:- Operations Center Context Plugin の ItemReplicationLive / ItemReplicationRecordXXE の脆弱性の権限チェックがありません (BEE-178)
- CyberArk Credentials Plugin の CyberArk ストア構成でフォルダを作成する際に権限チェックがありません (BEE-181)
- Nectar-License Plugin に権限チェックがありません (BEE-182)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Jenkins EnterpriseまたはJenkins Operations Centerをバージョン2.249.31.0.3、2.277.4.2以降にアップグレードしてください。参考資料
https://www.cloudbees.com/cloudbees-security-advisory-2021-05-05
プラグインの詳細
深刻度: Medium
ID: 155629
ファイル名: cloudbees_security_advisory_2021-05-05.nasl
バージョン: 1.2
タイプ: combined
エージェント: windows, macosx, unix
ファミリー: CGI abuses
公開日: 2021/11/19
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent
リスク情報
CVSS スコアの根本的理由: Score based on analysis of the vendor advisory.
CVSS v2
リスクファクター: Medium
Base Score: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P
CVSS スコアのソース: manual
CVSS v3
リスクファクター: Medium
Base Score: 5.4
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L
脆弱性情報
CPE: cpe:/a:cloudbees:jenkins
必要な KB アイテム: installed_sw/Jenkins
パッチ公開日: 2021/5/5
脆弱性公開日: 2021/5/5