リモートWebサーバーで実行されているJenkins EnterpriseまたはJenkins Operations Centerのバージョンは、2.303.30.0.13より前の2.303.x、2.332.3.4より前の2.xです。そのため、以下を含む複数の脆弱性による影響を受けます：

  - Jenkins Rundeck プラグイン 3.6.10以前では、Rundeck webhook 送信の URL スキームを制限していないため、細工された Rundeck webhook ペイロードを送信できる攻撃者が悪用可能な、蓄積型クロスサイトスクリプティング (XSS) の脆弱性が存在します。(CVE-2022-30956)

  - Jenkins Application Detector プラグイン 1.0.8以前では、パラメーターを表示するビューの Chois Application Version パラメーターの名前がエスケープされないため、蓄積型クロスサイトスクリプティング (XSS) の脆弱性があり、Item/Configure 権限を持つ攻撃者がこれを悪用する可能性があります。(CVE-2022-30960)

  - Jenkins Autocomplete Parameter プラグイン 1.1以前のクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、被害者が管理者である場合、攻撃者がサンドボックス保護なしで任意のコードを実行する可能性があります。
    (CVE-2022-30969)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Jenkins Enterprise および Operations Center2.303.x < 2.303.30.0.13/ 2.332.3.4複数の脆弱性 (CloudBees セキュリティアドバイザリ 2022 年 5 月 17 日)

high Nessus プラグイン ID 161453

バージョン 1.6

バージョン 1.5

バージョン 1.6 Jun 4, 2024, 7:00 PM Required Scan configuration ("Enable cgi scanning" set to "True") Plugin Feed: 202406041900
バージョン 1.5 Nov 17, 2022, 3:59 PM CVSS metrics CVSSv3 score source (Changed from CVE-2022-30945 to CVE-2022-30972) Exploit attributes Plugin Feed: 202211171559