リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.346.40.0.17 より前の 2.346.xです。そのため、以下を含む複数の脆弱性による影響を受けます :

  - Code Dx プラグインにおける CSRF の脆弱性とアクセス許可チェックの欠落 (CVE-2023-2195、CVE-2023-2631)

  - Code Dx プラグインにおけるアクセス許可チェックの欠落 (CVE-2023-2196)

  - Code Dx プラグインによりプレーンテキストで保存および表示される API キー (CVE-2023-2632、CVE-2023-2633)

  - パイプラインにある蓄積型 XSS の脆弱性 : Job プラグイン (CVE-2023-32977)

  - LDAP プラグインの CSRF 脆弱性 (CVE-2023-32978)

  - Email Extension プラグインにおけるアクセス許可チェックの欠落 (CVE-2023-32979)

  - Email Extension プラグインの CSRF 脆弱性 (CVE-2023-32980)

  - Pipeline Utility Steps プラグインのエージェントに対する任意ファイル書き込みの脆弱性 (CVE-2023-32981)

  - Ansible プラグインによりプレーンテキストで保存および表示される秘密 (CVE-2023-32982、CVE-2023-32983)

  - TestNG Results プラグインの蓄積型 XSS の脆弱性 (CVE-2023-32984)

  - Sidebar Link プラグインにおけるストラバーサルの脆弱性 (CVE-2023-32985)

  - File Parameter プラグインにおける任意のファイル書き込みの脆弱性 (CVE-2023-32986)

  - Reverse Proxy Auth プラグインの CSRF 脆弱性 (CVE-2023-32987)

  - Azure VM Agents プラグインに権限チェックがないため、認証情報 ID の列挙が可能になります (CVE-2023-32988)

  - Azure VM Agents プラグインにおける CSRF の脆弱性と権限チェックの欠落 (CVE-2023-32989、CVE-2023-32990)

  - SAML Single Sign On(SSO) プラグインが XXE を許可することによる CSRF の脆弱性とアクセス許可チェックの欠落 (CVE-2023-32991、CVE-2023-32992)

  - SAML Single Sign On(SSO) プラグインにおけるホスト名検証の欠落 (CVE-2023-32993)

  - SAML Single Sign On(SSO) プラグインにおける、SSL/TLS 証明書の検証の無条件の無効化 (CVE-2023-32994)

  - SAML Single Sign On(SSO) プラグインの CSRF の脆弱性とアクセス許可チェックの欠落 (CVE-2023-32995、CVE-2023-32996)

  - CAS プラグインにおけるセッション固定の脆弱性 (CVE-2023-32997)

  - AppSpider プラグインにおける CSRF の脆弱性と権限チェックの欠落 (CVE-2023-32998、CVE-2023-32999)

  - NS-ND Integration Performance Publisher プラグインによりマスキングされずに表示される認証情報 (CVE-2023-33000)

  - HashiCorp Vault プラグインでの認証情報の不適切なマスキング (CVE-2023-33001)

  - TestComplete サポートプラグインの蓄積型 XSS の脆弱性 (CVE-2023-33002)

  - Tag Profiler プラグインにおける CSRF の脆弱性とアクセス許可チェックの欠落 (CVE-2023-33003、CVE-2023-33004)

  - WSO2 Oauth プラグインにおけるセッション固定の脆弱性 (CVE-2023-33005)

  - WSO2 Oauth プラグインの CSRF 脆弱性 (CVE-2023-33006)

  - LoadComplete サポートプラグインの蓄積型 XSS の脆弱性 (CVE-2023-33007)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Jenkins Enterprise および Operations Center 2.346.x< 2.346.40.0.17の複数の脆弱性 (CloudBees セキュリティアドバイザリ 2023 年 5 月 16 日)

high Nessus プラグイン ID 175835

依存が見つかりません