リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.222.43.0.2 rev3 より前の 2.222.x、2.249.30.0.2 rev3 より前の 2.249.x、および 2.263.4.1 rev2 より前の 2.x です。そのため、以下を含む複数の脆弱性による影響を受けます:

  - Jenkins Configuration Slicing Plugin 1.51 以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者が異なるスライス構成を適用する可能性があります。(CVE-2021-21617)

  - Jenkins プロモートビルドプラグイン 2.18.1 以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者が要求を変更する可能性があります。(CVE-2021-21620)

  - Jenkins Support Core プラグイン 2.72 以前では、「ユーザー情報 (基本認証の詳細のみ) 」の一部としてシリアル化されたユーザー認証が提供されています。これには、一部の構成でサポートバンドルを作成するユーザーのセッション ID が含まれる可能性があります。(CVE-2021-21621)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Jenkins Enterprise および Operations Center < 2.222.43.0.2 rev3 / 2.249.30.0.2 rev3 / 2.263.4.1 rev2 の複数の脆弱性 (CloudBees セキュリティアドバイザリ 2021 年 2 月 24 日)

high Nessus プラグイン ID 155630

バージョン 1.4