リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.346.40.0.6 より前の 2.346.x、または 2.361.3.4 より前の 2.x です。そのため、以下を含む複数の脆弱性による影響を受けます：

  - snakeyaml での CVE-2022-38751 (train 2.346.x.0.z を修正) (BEE-23728)

  - snakeyaml での CVE-2022-38749 (train 2.346.x.0.z を修正) (BEE-23729)

  - Pipeline Utility Steps プラグインでのリモートコード実行の脆弱性 (CVE-2022-33980)

  - NS-ND Integration Performance Publisher プラグインにより、SSL/TLS 証明書の検証が無条件に無効化されます (CVE-2022-38666)

  - Script Security Plugin のスクリプト全体の承認が SHA-1 衝突に対して脆弱です (CVE-2022-45379)

  - JUnit プラグインの蓄積型 XSS の脆弱性 (CVE-2022-45380)

  - Pipeline Utility Steps プラグインでの任意のファイル読み取りの脆弱性 (CVE-2022-45381)

  - Naginator プラグインの蓄積型 XSS の脆弱性 (CVE-2022-45382)

  - Support Core Plugin での不適切な権限チェック (CVE-2022-45383)

  - リバースプロキシ認証プラグインによってプレーンテキストで保存されたパスワード (CVE-2022-45384)

  - CloudBees Docker Hub/Registry 通知プラグインの webhook の認証メカニズムの欠如 (CVE-2022-45385)

  - Violations プラグインのエージェントでの XXE の脆弱性 (CVE-2022-45386)

  - BART プラグインの蓄積型 XSS の脆弱性 (CVE-2022-45387)

  - Config Rotator プラグインでの任意のファイル読み取りの脆弱性 (CVE-2022-45388)

  - XP-Dev プラグインの webhook に対する認証メカニズムの欠如 (CVE-2022-45389)

  - loader.io プラグインに権限チェックがないため、認証情報 ID の列挙が可能になります (CVE-2022-45390)

  - NS-ND Integration Performance Publisher プラグインにより、SSL/TLS 証明書の検証がグローバルで無条件に無効化されます (CVE-2022-45391)

  - NS-ND Integration Performance Publisher プラグインによりプレーンテキストで保存されたパスワード (CVE-2022-45392)

  - Delete log プラグインにおける CSRF の脆弱性と権限チェックの欠落 (CVE-2022-45393、CVE-2022-45394)

  - CCCC プラグインのエージェントでの XXE の脆弱性 (CVE-2022-45395)

  - SourceMonitor プラグインのエージェントでの XXE の脆弱性 (CVE-2022-45396)

  - OSF Builder Suite のエージェントでの XXE の脆弱性 : : XML Linter プラグイン (CVE-2022-45397)

  - Cluster Statistics プラグインにおける CSRF の脆弱性と権限チェックの欠落 (CVE-2022-45398、CVE-2022-45399)

  - JAPEX プラグインでの XXE の脆弱性 (CVE-2022-45400)

  - Associated Files プラグインの蓄積型 XSS の脆弱性 (CVE-2022-45401)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Jenkins Enterprise および Operations Center 2.346.x < 2.346.40.0.6 / 2.361.3.4 複数の脆弱性 (CloudBees セキュリティアドバイザリ 2022 年 11 月 15 日)

critical Nessus プラグイン ID 167634

バージョン 1.3