リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.222.43.0.3 rev2 より前の 2.222.x、2.249.30.0.3 rev2 より前の 2.249.x、および 2.277.1.2 rev2 より前の 2.x です。そのため、以下を含む複数の脆弱性による影響を受けます:

  - Jenkins Matrix Authorization Strategy Plugin 2.6.5 以前の不適切な権限チェックにより、親フォルダーに対するアイテム/読み取り権限がない場合でも、ネスト化されたアイテムに対するアイテム/読み取り権限を持つ攻撃者が、それらにアクセスする可能性があります。(CVE-2021-21623)

  - Jenkins Role-based Authorization Strategy Plugin 3.1 以前の不適切な権限チェックにより、親フォルダーに対するアイテム/読み取り権限がない場合でも、ネスト化されたアイテムに対するアイテム/読み取り権限を持つ攻撃者が、それらにアクセスする可能性があります。(CVE-2021-21624)

  - Jenkins Libvirt Agents Plugin 1.9.0 以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者がハイパーバイザードメインを停止する可能性があります。(CVE-2021-21627)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Jenkins Enterprise および Operations Center < 2.222.43.0.3 rev2/2.249.30.0.3 rev2/2.277.1.2 rev2 の複数の脆弱性 (CloudBees セキュリティアドバイザリ 2021 年 3 月 18 日)

high Nessus プラグイン ID 155633

バージョン 1.4