リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.346.40.0.12 より前の 2.346.xです。そのため、以下を含む複数の脆弱性による影響を受けます :

  - Jenkins の中程度の権限は有効化および無効化できます。Overall/Manage または Item/Extended 読み取りなど、一部の権限はデフォルトで無効になっています。無効化された権限は直接付与することはできません。それらを暗示するより大きな権限 (例：Overall/Administer または Item/Configure) を介してのみです。ロールベースの承認戦略プラグイン 587.v2872c41fa_e51 以前では、無効にした後でも権限が付与されます。これにより、攻撃者は次の操作が行われた後に、本来よりも多くのアクセス権を持つことができます。権限が攻撃者に直接またはグループを通じて付与される。スクリプトコンソールなどから権限が無効になっている。ロールベースの認証戦略プラグイン 587.588.v850a_20a_30162 は、無効な権限を付与しません。(CVE-2023-28668)

  - 重要度高 JaCoCo プラグイン 3.3.2以前では、UI に表示されるクラスおよびメソッドの名前をエスケープしません。これにより、攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生し、「Record JaCoCo Coverage Report」ビルド後のアクションの入力ファイルを制御できます。JaCoCo プラグイン 3.3.2.1は UI に表示されるクラスおよびメソッドの名前をエスケープしません。(CVE-2023-28669)

  - 重要度高 Pipeline Aggregator View プラグイン 1.13以前では、インライン JavaScript で現在のビューの URL を表す変数をエスケープしません。これにより、Overall/Read 権限を持つ認証された攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。Pipeline Aggregator View プラグイン 1.14 は、XSS の影響を受けない方法で現在の URL を取得します。(CVE-2023-28670)

  - 重要度中 OctoPerf Load Testing プラグイン プラグイン 4.5.0以前では、接続テスト HTTP エンドポイントに対して POST リクエストを必要としません。その結果、クロスサイトリクエストフォージェリ (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が他の方法によって取得した攻撃者指定の認証情報 ID を使って攻撃者指定の URL に接続し、Jenkins に保存されている認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.1は、影響を受ける接続テスト HTTP エンドポイントに対する POST リクエストを必要とします。
    (CVE-2023-28671)

  - 重要度高 OctoPerf Load Testing Plugin プラグイン 4.5.1以前では、接続テスト HTTP エンドポイントで権限チェックを実施しません。これにより、Overall / Read 権限を持つ攻撃者が、他の方法によって取得した攻撃者指定の認証情報 ID を使って攻撃者指定の URL に接続し、Jenkins に保存されている認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.2 は、影響を受ける接続テスト HTTP エンドポイントにアクセスしている時、権限チェックを適切に実施します。(CVE-2023-28672)

  - 重要度中 OctoPerf Load Testing Plugin プラグイン 4.5.2以前では、HTTP エンドポイントで権限チェックを実施しません。これにより、Overall/Read 権限を持つ攻撃者が、Jenkins に蓄積された認証情報 ID を列挙する可能性があります。これらを攻撃の一部として利用し、別の脆弱性を利用して認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.3の認証情報 ID の列挙には、適切な権限が必要です。(CVE-2023-28673)

  - 重要度中 OctoPerf Load Testing Plugin プラグイン 4.5.2以前では、HTTP エンドポイントで権限チェックを実施しません。これにより、Overall / Read 権限を持つ攻撃者が、攻撃者が指定した認証情報を使用して、以前に構成された Octoperf サーバーに接続する可能性があります。さらに、これらのエンドポイントは POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。OctoPerf Load Testing Plugin プラグイン 4.5.3では、影響を受ける HTTP エンドポイントに対して POST リクエストおよび適切な権限が必要です。
    (CVE-2023-28674, CVE-2023-28675)

  - 重要度高 Convert To Pipeline プラグイン 1.0以前では、Freestyle のプロジェクトを Pipeline に変換する HTTP エンドポイントに対する POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が Freestyle プロジェクトに基づいてパイプラインを作成する可能性があります。
    SECURITY-2966 と組み合わせると、サンドボックス化されていないパイプラインスクリプトが実行される可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28676)

  - 重要度高 Convert To Pipeline プラグイン 1.0以前では、基本的な文字列連結を使用して、Freestyle プロジェクトの Build Environment、Build Steps、および Post-build Actions を同等の Pipeline ステップ呼び出しに返還します。これにより、攻撃者は Freestyle プロジェクトを構成して、Convert To Pipeline プラグインによる変換の結果得られた (サンドボックス化されていない) Pipeline に Pipeline スクリプトコードを注入する細工された構成を準備する可能性があります。管理者が Freestyle プロジェクトを Pipeline に変換すると、スクリプトは事前承認されます。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
    (CVE-2023-28677)

  - 重要度高 Cppcheck プラグイン 1.26以前では、Jenkins UI に表示する前に、Cppcheck レポートファイルのファイル名をエスケープしません。これにより、攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生し、レポートファイルの内容を制御できます。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28678)

  - 重要度高 Mashup Portlets プラグイン 1.1.2以前は、ユーザーがカスタム JavaScript 表現を使用してポートレットを生成できる、Generic JS Portlet 機能を提供します。これにより、Overall/Read 権限を持つ認証された攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28679)

  - 重要度高 Crap4J プラグイン 0.9以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、Crap Report ファイルの内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
    (CVE-2023-28680)

  - 重要度高 Visual Studio Code Metrics プラグイン 1.7以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、VS Code Metrics File の内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
    弊社がこれを発表する理由をご覧ください。(CVE-2023-28681)

  - 重要度高 Performance Publisher プラグイン 8.09以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、PerfPublisher レポートファイルを制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
    弊社がこれを発表する理由をご覧ください。(CVE-2023-28682)

  - 重要度高 Phabricator Differential プラグイン 2.1.5以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、「Post to Phabricator」のビルド後のアクションのカバレッジレポートファイルの内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28683)

  - 重要度高 remote-jobs-view-plugin プラグイン 0.0.3以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、Overall/Read 権限がある認証された攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
    弊社がこれを発表する理由をご覧ください。(CVE-2023-28684)

  - 重要度高 AbsInt プラグイン 1.1.0以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、「Project File (APX)」の内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28685)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Jenkins Enterprise および Operations Center 2.346.x< 2.346.40.0.12の複数の脆弱性 (CloudBees セキュリティアドバイザリ 2023-03-21-security-advisory)

critical Nessus プラグイン ID 173193

バージョン 1.2

バージョン 1.1

バージョン 1.0

バージョン 1.2 Jun 4, 2024, 7:00 PM Required Scan configuration ("Enable cgi scanning" set to "True") Plugin Feed: 202406041900
バージョン 1.1 Apr 10, 2023, 2:11 PM CVSSv2 score source (changed from "CVE-2023-28676" to "CVE-2023-28677") CVSSv3 score source (set to "CVE-2023-28677") CVSS metrics ("CVSSv3 score" changed from 8.8 to 9.8. "CVSSv3 score" changed from 8.8 to 9.8. "CVSSv3 score" changed from 8.8 to 9.8. "CVSSv3 score" changed from 8.8 to 9.8. "CVSSv3 vector" changed from "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H" to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H". "CVSSv3 vector" changed from "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H" to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H". "CVSSv3 vector" changed from "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H" to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H") Plugin Feed: 202304101411
バージョン 1.0 Mar 22, 2023, 2:00 AM New Plugin Feed: 202303220200