Jenkins plugins 複数の脆弱性 (2022 年 3 月 29 日)

high Nessus プラグイン ID 159377

概要

リモートの Web サーバーホストで実行されているアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモート Web サーバーで実行されている Jenkins プラグインのバージョンは、3.2.0 より前の Jenkins Bitbucket Server Integration Plugin、2.4 より前の Toad Edge Plugin の Continuous Integration、1.1.1 以前の Coverage/Complexity Scatter Plot プラグイン、1.2.2 より前の Flaky Test Handler Plugin、166. より前の JiraTestResultReporter プラグイン、0.13.0 以前の Job および Node 所有権プラグイン、1.3 以前の Pipeline:Phoenix AutoTest プラグイン、0.7.1 より前の Proxmox プラグイン、1.5.0 より前の RocketChat Notifier プラグイン、0.6 以前の SiteMonitorプラグイン、1.3.3 以前の Tests Selector プラグイン、1.42 より前のインスタントメッセージングプラグインです。したがって、複数の脆弱性による影響を受けます。

- Jenkins Bitbucket Server Integration プラグイン 3.1.0 以前は、OAuth コンシューマーのコールバック URL の URL スキームを制限しません。これにより、BitBucket Server コンシューマーを作成できる攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生します。(CVE-2022-28133)

- Jenkins Bitbucket Server Integration プラグイン 3.1.0 以前では、複数の HTTP エンドポイントで権限チェックを実行しないため、Overall/Read 権限を持つ攻撃者が、BitBucket Server コンシューマーを作成、表示、削除する可能性があります。(CVE-2022-28134)

- Jenkins instant-messaging プラグイン 1.41 以前では、グループチャットのパスワードが、暗号化されていない状態で Jenkins コントローラーの Jenkins インスタントメッセージングプラグインに基づくプラグインのグローバル構成ファイルに保存されるため、Jenkins コントローラーファイルシステムへのアクセス権を持つユーザーが表示できます。(CVE-2022-28135)

- Jenkins JiraTestResultReporter Plugin 165.v817928553942 以前のクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、攻撃者が攻撃者指定の認証情報を使用して、攻撃者指定の URL に接続することが可能です。(CVE-2022-28136)

- Jenkins JiraTestResultReporter Plugin 165.v817928553942 以前では、Overall/Read 権限のある攻撃者が、攻撃者指定の認証情報を使用して、攻撃者指定の URL に接続することが可能です。(CVE-2022-28137)

- Jenkins RocketChat Notifier プラグイン 1.4.10 以前のクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、攻撃者が攻撃者指定の認証情報を使用して、攻撃者指定の URL に接続することが可能です。
(CVE-2022-28138)

- Jenkins RocketChat Notifier プラグイン 1.4.10 以前では、Overall/Read 権限のある攻撃者が、攻撃者指定の認証情報を使用して、攻撃者指定の URL に接続することが可能です。
(CVE-2022-28139)

- Jenkins Flaky Test Handler プラグイン 1.2.1 以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。(CVE-2022-28140)

- Jenkins Proxmox プラグイン 0.5.0 以前では、Jenkins コントローラーでグローバル config.xml ファイルに蓄積された Proxmox Datacenter のパスワードが暗号化されていません。それで Jenkins コントローラーファイルシステムへのアクセス権があるユーザーはそれを閲覧することが可能です。(CVE-2022-28141)

- Jenkins Proxmox プラグイン 0.6.0 以前では、SSL/TLS の問題を無視するように構成されている場合、Jenkins コントローラー JVM の SSL/TLS 証明書検証がグローバルで無効になります。(CVE-2022-28142)

- Jenkins Proxmox プラグイン 0.7.0 以前のクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、攻撃者が、攻撃者が指定したユーザー名とパスワードを使用して攻撃者が指定したホストに接続し (接続テストを行い)、SSL/TLS 検証を無効にすることができます。Jenkins コントローラー JVM 全体を接続テストの一部として (CVE-2022-28142 を参照)、攻撃者が指定したパラメーターでロールバックをテストします。
(CVE-2022-28143)

- Jenkins Proxmox プラグイン 0.7.0 以前では、いくつかの HTTP エンドポイントで権限チェックを実施していません。そのため、Overall/Read 権限がある攻撃者は、攻撃者が指定したユーザー名とパスワードを使用して、攻撃者が指定したホストに接続し (接続テストを行い)、SSL/TLS 検証を無効にすることができます。Jenkins コントローラー JVM 全体を接続テストの一部として (CVE-2022-28142 を参照)、攻撃者が指定したパラメーターでロールバックをテストします。(CVE-2022-28144)

- Jenkins Continuous Integration with Toad Edge プラグイン 2.3 以前は、提供するレポートファイルに Content-Security-Policy ヘッダーを適用しません。このため、保存されたクロスサイトスクリプティング (XSS) が、Item/Configure を持つ攻撃者に悪用されるか、そうでなければ、レポートの内容を制御することが可能になります。(CVE-2022-28145)

- Jenkins Continuous Integration with Toad Edge プラグイン 2.3 以前では、Item/Configure 権限を持つ攻撃者が、Jenkins コントローラーの入力フォルダーをビルドステップのパラメーターとして指定することで、Jenkins コントローラー上の任意のファイルを読み取ることが可能です。(CVE-2022-28146)

- Jenkins Continuous Integration with Toad Edge Plugin 2.3 以前の権限チェックの欠落により、Overall/Read 権限を持つ攻撃者が、Jenkinsコントローラーファイルシステムに攻撃者が指定したファイルパスの存在をチェックすることが可能です。(CVE-2022-28147)

- Jenkins Continuous Integration with Toad Edge プラグイン 2.3 以前のファイルブラウザーは、Windows 上のファイルへの一部のパスを絶対パスとして解釈することがあり、その結果、パストラバーサルの脆弱性が発生し、Item/Read 権限を持つ攻撃者が Windows コントローラーの任意のファイルの内容を取得することが可能です。
(CVE-2022-28148)

- Jenkins Job and Node ownership プラグイン 0.13.0 以前では、セカンダリーオーナーの名前をエスケープしません。そのため、Item/Configure 権限を持つ攻撃者が蓄積型のクロスサイトスクリプティング (XSS) を悪用する可能性があります。(CVE-2022-28149)

- Jenkins Job and Node ownership プラグイン 0.13.0 以前のクロスサイトリクエストフォージェリ (CSRF) により、攻撃者はオーナーおよびジョブの項目指定の許可を変更することが可能です。(CVE-2022-28150)

- Jenkins Job and Node ownership プラグイン 0.13.0 以前では権限チェックが欠落しているため、Item/Read 権限を持つ攻撃者はオーナーおよびジョブの項目指定の許可を変更することが可能です。(CVE-2022-28151)

- Jenkins Job and Node ownership プラグイン 0.13.0 以前では、攻撃者はジョブのデフォルトのオーナーシップを拡幅することが可能です。(CVE-2022-28152)

- Jenkins SiteMonitor Plugin 0.6 以前は、tooltips でモニタリングするサイトの URL をエスケープしないため、結果として、Item/Configure 権限を持つ攻撃者が蓄積型のクロスサイトスクリプティング (XSS) の脆弱性を悪用する可能性があります。(CVE-2022-28153)

- Jenkins Coverage/Complexity Scatter Plot プラグイン 1.1.1 以前では、XML 外部エンティティ (XXE) 攻撃を防ぐために、XML パーサーを構成していません。(CVE-2022-28154)

- Jenkins パイプライン: - Phoenix AutoTest プラグイン 1.3 以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。(CVE-2022-28155)

- Jenkins パイプライン: Phoenix AutoTest Plugin 1.3 以前では、Item/Configure 権限を持つ攻撃者が、任意のファイルおよびディレクトリを Jenkins コントローラーからエージェントのワークスペースにコピーする可能性があります。
(CVE-2022-28156)

- Jenkins パイプライン: Phoenix AutoTest Plugin 1.3 以前では、Item/Configure 権限を持つ攻撃者が、任意のファイルを Jenkins コントローラーから、FTP を介して、攻撃者が指定する FTP サーバーにアップロードする可能性があります。
(CVE-2022-28157)

- Jenkins Pipeline での権限チェックの欠落: Phoenix AutoTest プラグイン 1.3 以前では、Overall/Read 権限を持つ攻撃者が、Jenkins に蓄積された認証情報 ID や認証情報を列挙する可能性があります。
(CVE-2022-28158)

- Jenkins Tests Selector プラグイン 1.3.3 以前では、Choosing Tests パラメーターの Properties File Path オプションをエスケープしません。その結果、Item/Configure 権限を持つ攻撃者が蓄積型クロスサイトスクリプティング (XSS) を悪用する可能性があります。(CVE-2022-28159)

- Jenkins Tests Selector プラグイン 1.3.3 以前では、Item/Configure 権限を持つ攻撃者が、Jenkins コントローラーの任意のファイルを読み取ることが可能です。(CVE-2022-28160)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

インスタントメッセージングプラグインをバージョン 1.42 以降に、RocketChat Notifier プラグインをバージョン 1.5.0 以降に、Proxmox プラグインをバージョン 0.7.1 以降に、JiraTestResultReporter プラグインをバージョン 166. 以降に、Flaky Test Handler Plugin をバージョン 1.2.2 以降に、Continuous Integration with Toad Edge プラグインをバージョン 2.4以降に、Bitbucket Server Integration プラグインをバージョン 3.2.0 以降にアップグレードしてください。

関連情報

https://jenkins.io/security/advisory/2022-03-29

プラグインの詳細

深刻度: High

ID: 159377

ファイル名: jenkins_security_advisory_2022-03-29_plugins.nasl

バージョン: 1.5

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2022/3/31

更新日: 2022/4/26

構成: 徹底的なチェックを有効にする

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5

ベクトル: AV:N/AC:M/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-28150

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要な KB アイテム: installed_sw/Jenkins

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/3/29

脆弱性公開日: 2022/3/29

参照情報

CVE: CVE-2022-28133, CVE-2022-28134, CVE-2022-28135, CVE-2022-28136, CVE-2022-28137, CVE-2022-28138, CVE-2022-28139, CVE-2022-28140, CVE-2022-28141, CVE-2022-28142, CVE-2022-28143, CVE-2022-28144, CVE-2022-28145, CVE-2022-28146, CVE-2022-28147, CVE-2022-28148, CVE-2022-28149, CVE-2022-28150, CVE-2022-28151, CVE-2022-28152, CVE-2022-28153, CVE-2022-28154, CVE-2022-28155, CVE-2022-28156, CVE-2022-28157, CVE-2022-28158, CVE-2022-28159, CVE-2022-28160