Jenkins weekly < 2.370 の複数の脆弱性

critical Nessus プラグイン ID 165766

概要

リモートの Web サーバーホストで実行されているアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモートの Web サーバーで実行されている Jenkins のバージョンは、2.370 より前の Jenkins weekly です。そのため、以下の複数の脆弱性の影響を受けます。

- Jenkins 2.367 から 2.369 (両方を含む) では、Jenkins の Web UI 上の一部のヘルプアイコンに使用されている l: helpIcon UI コンポーネントのツールチップがエスケープされていないため、このコンポーネントのツールチップを制御できる攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) 脆弱性が発生します。(CVE-2022-41224)

- Jenkins Anchore Container Image Scanner Plugin 1.0.24 以前では、Anchore エンジン API が提供するコンテンツをエスケープしないため、攻撃者が Anchore エンジンで API 応答を制御できる格納型クロスサイトスクリプティング (XSS) の脆弱性を悪用する可能性があります。(CVE-2022-41225)

- Jenkins Compuware Common Configuration Plugin 1.0.14 以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。(CVE-2022-41226)

- Jenkins NS-ND Integration Performance Publisher プラグイン 4.8.0.129 以前のクロスサイトリクエストフォージェリ (CSRF) により、攻撃者は攻撃者が指定した 認証情報を使用して、攻撃者が指定した Web サーバーにアクセスすることが可能です。(CVE-2022-41227)

- Jenkins NS-ND Integration Performance Publisher プラグイン 4.8.0.129 以前では、Overall/Read 権限のある攻撃者が、攻撃者指定の認証情報を使用して、攻撃者指定の Web サーバーに接続することが可能です。(CVE-2022-41228)

- Jenkins NS-ND Integration Performance Publisher プラグイン 4.8.0.134 以前では、NetStorm/NetCloud テストの実行ビルドステップの構成オプションをエスケープしません。このため、アイテム/構成権限を持つ攻撃者が、格納型クロスサイトスクリプティング (XSS) の脆弱性を悪用する可能性があります。(CVE-2022-41229)

- Jenkins Build-Publisher Plugin 1.22 以前では、HTTP エンドポイントで権限チェックを実行しないため、Overall/Read 権限を持つ攻撃者が、プラグインがビルドを公開するように構成している Jenkins サーバーの名前と URL、名前と URL、およびそれらの Jenkins サーバーへの公開が保留されているビルドを取得する可能性があります。(CVE-2022-41230)

- Jenkins Build-Publisher Plugin 1.22 以前では、アイテム/構成権限を持つ攻撃者が、細工されたファイル名を API エンドポイントに提供することで、Jenkins コントローラーファイルシステムで config.xml ファイルを作成または置換する可能性があります。(CVE-2022-41231)

- Jenkins Build-Publisher Plugin 1.22 以前のクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、攻撃者が細工されたファイル名を API エンドポイントに提供することで、Jenkins コントローラーファイルシステム上の config.xml ファイルを空のファイルに置き換える可能性があります。 (CVE-2022-41232)

- Jenkins Rundeck Plugin 3.6.11 以前では、複数の HTTP エンドポイントで Run/Artifacts 権限チェックを実行しないため、オプションの Run/Artifacts 権限が有効な場合、Item/Read 権限を持つ攻撃者が、特定のジョブのビルドアーティファクトに関する情報を取得する可能性があります。(CVE-2022-41233)

- Jenkins Rundeck Plugin 3.6.11 以前では、/plugin/rundeck/webhook/ エンドポイントへのアクセスが保護されないため、Overall/Read 権限のあるユーザーが、Rundeck を介してトリガーできるように構成されたジョブをトリガーすることが可能です。(CVE-2022-41234)

- - Jenkins WildFly Deployer Plugin 1.0.2 以前では、エージェントプロセスが Jenkins コントローラーファイルシステム上の任意のファイルを読み取ることができる機能を実装しています。 (CVE-2022-41235)

- Jenkins Security Inspector Plugin 117.v6eecc36919c2 以前のクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、セッションごとのキャッシュに保存され、.../report URL で許可されたユーザーに表示される生成済みレポートを、攻撃者が指定したレポート生成オプションに基づくレポートに置き換えることができます。(

ソリューション

Jenkins weekly をバージョン 2.370 以降にアップグレードしてください。

参考資料

https://jenkins.io/security/advisory/2022-09-21

プラグインの詳細

深刻度: Critical

ID: 165766

ファイル名: jenkins_2_370.nasl

バージョン: 1.3

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2022/10/7

更新日: 2022/12/1

設定: 徹底したチェックを有効にする

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-41253

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2022-41238

脆弱性情報

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要な KB アイテム: installed_sw/Jenkins

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/9/21

脆弱性公開日: 2022/9/21

参照情報

CVE: CVE-2022-41224, CVE-2022-41225, CVE-2022-41226, CVE-2022-41227, CVE-2022-41228, CVE-2022-41229, CVE-2022-41230, CVE-2022-41231, CVE-2022-41232, CVE-2022-41233, CVE-2022-41234, CVE-2022-41235, CVE-2022-41236, CVE-2022-41237, CVE-2022-41238, CVE-2022-41239, CVE-2022-41240, CVE-2022-41241, CVE-2022-41242, CVE-2022-41243, CVE-2022-41244, CVE-2022-41245, CVE-2022-41246, CVE-2022-41247, CVE-2022-41248, CVE-2022-41249, CVE-2022-41250, CVE-2022-41251, CVE-2022-41252, CVE-2022-41253, CVE-2022-41254, CVE-2022-41255