検出

Jenkins プラグインの複数の脆弱性 (2023 年 3 月 21 日)

critical Nessus プラグイン ID 179049

Language:

概要

リモートの Web サーバーホストで実行されているアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告によるバージョン番号によると、リモート Web サーバー上で実行されているバージョンの Jenkins プラグインは、次の複数の脆弱性の影響を受けます。

 - Jenkins の中程度のアクセス許可は有効化および無効化できます。Overall/Manage または Item/Extended 読み取りなど、一部の権限はデフォルトで無効になっています。無効化された権限は直接付与することはできません。それらを暗示するより大きな権限 (例:Overall/Administer または Item/Configure) を介してのみです。ロールベースの承認戦略プラグイン 587.v2872c41fa_e51 以前では、無効にした後でも権限が付与されます。これにより、攻撃者は次の操作が行われた後に、本来よりも多くのアクセス権を持つことができます。権限が攻撃者に直接またはグループを通じて付与される。スクリプトコンソールなどから権限が無効になっている。ロールベースの認証戦略プラグイン 587.588.v850a_20a_30162 は、無効な権限を付与しません。(CVE-2023-28668)

 - 重要度高 JaCoCo プラグイン 3.3.2以前では、UI に表示されるクラスおよびメソッドの名前をエスケープしません。これにより、攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生し、「Record JaCoCo Coverage Report」ビルド後のアクションの入力ファイルを制御できます。JaCoCo プラグイン 3.3.2.1は UI に表示されるクラスおよびメソッドの名前をエスケープしません。(CVE-2023-28669)

 - 重要度高 Pipeline Aggregator View プラグイン 1.13以前では、インライン JavaScript で現在のビューの URL を表す変数をエスケープしません。これにより、Overall/Read 権限を持つ認証された攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。Pipeline Aggregator View プラグイン 1.14 は、XSS の影響を受けない方法で現在の URL を取得します。(CVE-2023-28670)

 - 重要度中 OctoPerf Load Testing プラグイン プラグイン 4.5.0以前では、接続テスト HTTP エンドポイントに対して POST リクエストを必要としません。その結果、クロスサイトリクエストフォージェリ (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が他の方法によって取得した攻撃者指定の認証情報 ID を使って攻撃者指定の URL に接続し、Jenkins に保存されている認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.1は、影響を受ける接続テスト HTTP エンドポイントに対する POST リクエストを必要とします。
 (CVE-2023-28671)

 - 重要度高 OctoPerf Load Testing Plugin プラグイン 4.5.1以前では、接続テスト HTTP エンドポイントで権限チェックを実施しません。これにより、Overall / Read 権限を持つ攻撃者が、他の方法によって取得した攻撃者指定の認証情報 ID を使って攻撃者指定の URL に接続し、Jenkins に保存されている認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.2 は、影響を受ける接続テスト HTTP エンドポイントにアクセスしているとき、権限チェックを適切に実施します。(CVE-2023-28672)

 - 重要度中 OctoPerf Load Testing Plugin プラグイン 4.5.2以前では、HTTP エンドポイントで権限チェックを実施しません。これにより、Overall/Read 権限を持つ攻撃者が、Jenkins に蓄積された認証情報 ID を列挙する可能性があります。これらを攻撃の一部として利用し、別の脆弱性を利用して認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.3の認証情報 ID の列挙には、適切な権限が必要です。(CVE-2023-28673)

 - 重要度中 OctoPerf Load Testing Plugin プラグイン 4.5.2以前では、HTTP エンドポイントで権限チェックを実施しません。これにより、Overall / Read 権限を持つ攻撃者が、攻撃者が指定した認証情報を使用して、以前に構成された Octoperf サーバーに接続する可能性があります。さらに、これらのエンドポイントは POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。OctoPerf Load Testing Plugin プラグイン 4.5.3では、影響を受ける HTTP エンドポイントに対して POST リクエストおよび適切な権限が必要です。
 (CVE-2023-28674、CVE-2023-28675)

 - 重要度高 Convert To Pipeline プラグイン 1.0以前では、Freestyle のプロジェクトを Pipeline に変換する HTTP エンドポイントに対する POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が Freestyle プロジェクトに基づいてパイプラインを作成する可能性があります。
 SECURITY-2966 と組み合わせると、サンドボックス化されていないパイプラインスクリプトが実行される可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28676)

 - 重要度高 Convert To Pipeline プラグイン 1.0以前では、基本的な文字列連結を使用して、Freestyle プロジェクトの Build Environment、Build Steps、および Post-build Actions を同等の Pipeline ステップ呼び出しに返還します。これにより、攻撃者は Freestyle プロジェクトを構成して、Convert To Pipeline プラグインによる変換の結果得られた (サンドボックス化されていない) Pipeline に Pipeline スクリプトコードを注入する細工された構成を準備する可能性があります。管理者が Freestyle プロジェクトを Pipeline に変換すると、スクリプトは事前承認されます。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
 (CVE-2023-28677)

 - 重要度高 Cppcheck プラグイン 1.26以前では、Jenkins UI に表示する前に、Cppcheck レポートファイルのファイル名をエスケープしません。これにより、攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生し、レポートファイルの内容を制御できます。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28678)

 - 重要度高 Mashup Portlets プラグイン 1.1.2以前は、ユーザーがカスタム JavaScript 表現を使用してポートレットを生成できる、Generic JS Portlet 機能を提供します。これにより、Overall/Read 権限を持つ認証された攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28679)

 - 重要度高 Crap4J プラグイン 0.9以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、Crap Report ファイルの内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
 (CVE-2023-28680)

 - 重要度高 Visual Studio Code Metrics プラグイン 1.7以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、VS Code Metrics File の内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
 弊社がこれを発表する理由をご覧ください。(CVE-2023-28681)

 - 重要度高 Performance Publisher プラグイン 8.09以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、PerfPublisher レポートファイルを制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
 弊社がこれを発表する理由をご覧ください。(CVE-2023-28682)

 - 重要度高 Phabricator Differential プラグイン 2.1.5以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、「Post to Phabricator」のビルド後のアクションのカバレッジレポートファイルの内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28683)

 - 重要度高 remote-jobs-view-plugin プラグイン 0.0.3以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、Overall/Read 権限がある認証された攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
 弊社がこれを発表する理由をご覧ください。(CVE-2023-28684)

 - 重要度高 AbsInt プラグイン 1.1.0以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、「Project File (APX)」の内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28685)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Jenkins プラグインを次のバージョンに更新してください。
 - AbsInt プラグイン: ベンダーのアドバイザリを参照してください
 - Convert To Pipeline プラグイン: ベンダーのアドバイザリを参照してください
 - Cppcheck プラグイン: ベンダーのアドバイザリを参照してください
 - Crap4J プラグイン: ベンダーのアドバイザリを参照してください
 - JaCoCo プラグインのバージョン 3.3.2.1 以降
 - Mashup Portlets プラグイン: ベンダーのアドバイザリを参照してください
 - OkoPerf Load Testing Plugin プラグインのバージョン 4.5.1 / 4.5.2 / 4.5.3 以降
 - Performance Publisher プラグイン : ベンダーのアドバイザリを参照してください
 - Phabricator Differential プラグイン: ベンダーのアドバイザリを参照してください
 - Pipeline Aggregator View プラグインのバージョン 1.14 以降
 - remote-jobs-view-plugin プラグイン: ベンダーのアドバイザリを参照してください
 - Role-based Authorization Strategy プラグインのバージョン 587.588.v850a_20a_30162 以降
 - Visual Studio Code Metrics プラグイン: ベンダーのアドバイザリを参照してください

詳細については、ベンダーアドバイザリを参照してください。

参考資料

https://jenkins.io/security/advisory/2023-03-21

プラグインの詳細

深刻度: Critical

ID: 179049

ファイル名: jenkins_security_advisory_2023-03-21_plugins.nasl

バージョン: 1.2

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2023/7/31

更新日: 2024/6/5

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-28677

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins

必要な KB アイテム: installed_sw/Jenkins

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/3/21

脆弱性公開日: 2023/3/21

参照情報

CVE: CVE-2023-28668, CVE-2023-28669, CVE-2023-28670, CVE-2023-28671, CVE-2023-28672, CVE-2023-28673, CVE-2023-28674, CVE-2023-28675, CVE-2023-28676, CVE-2023-28677, CVE-2023-28678, CVE-2023-28679, CVE-2023-28680, CVE-2023-28681, CVE-2023-28682, CVE-2023-28683, CVE-2023-28684, CVE-2023-28685