検出

Jenkins プラグインの複数の脆弱性 (2022 年 6 月 30 日)

high Nessus プラグイン ID 179363

Language:

概要

リモートの Web サーバーホストで実行されているアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告によるバージョン番号によると、リモート Web サーバー上で実行されているバージョンの Jenkins プラグインは、次の複数の脆弱性の影響を受けます。

 - Jenkins GitLab プラグイン 1.5.34 とそれ以前では、webhook によりトリガーされたビルドの説明に挿入された複数の説明がエスケープされないため、Item/Configure アクセス許可を持つ攻撃者が悪用する可能性のある蓄積型クロスサイトスクリプティング (XSS) の脆弱性が存在します。(CVE-2022-34777)

 - Jenkins TestNG Results プラグイン 554.va4a552116332 およびそれ以前のバージョンは、特定のジョブレベルのオプションが設定されている場合、テスト結果に提供されたエスケープされていないテストの説明と例外メッセージがレンダリングされます。これにより、ジョブを設定したりテスト結果を制御できる攻撃者によって悪用可能なクロスサイトスクリプティング (XSS) の脆弱性が生じます。(CVE-2022-34778)

 - Jenkins XebiaLabs XL Release プラグイン 22.0.0 以前では、Overall/Read アクセス許可のある攻撃者が Jenkins に蓄積された認証情報の認証情報 ID を列挙することが可能です。(CVE-2022-34779)

 - Jenkins XebiaLabs XL Release プラグイン 22.0.0 以前のクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、攻撃者は、別の方法で取得した攻撃者指定の認証情報 ID を使用して攻撃者指定の HTTP サーバーに接続し、Jenkins に保存されている認証情報を取得することができます。(CVE-2022-34780)

 - Jenkins XebiaLabs XL Release プラグイン 22.0.0 以前では権限チェックが欠落しているため、Overall/Read アクセス許可を持つ攻撃者が、他の方法によって取得した攻撃者指定の認証情報 ID を使用して攻撃者指定の HTTP サーバーに接続し、Jenkins に保存されている認証情報を取得する可能性があります。(CVE-2022-34781)

 - Jenkins リクエストプラグインプラグイン 2.2.16 以前の不適切な権限チェックにより、Overall/Read アクセス許可を持つ攻撃者が、保留中のリクエストのリストを表示する可能性があります。(CVE-2022-34782)

 - Jenkins Plot プラグイン 2.1.10 およびそれ以前は、プロットの説明をエスケープしません。そのため、蓄積型クロスサイトスクリプティング (XSS) の脆弱性があり、Item/Configure アクセス許可を持つ攻撃者がこれを悪用する可能性があります。(CVE-2022-34783)

 - Jenkins build-metrics プラグイン 1.3 は、ビルドの説明をそのうち 1 つのビューでエスケープしません。そのため、蓄積型クロスサイトスクリプティング (XSS) の脆弱性があり、Build/Update アクセス許可を持つ攻撃者がこれを悪用する可能性があります。
 (CVE-2022-34784)

 - Jenkins build-metrics プラグイン 1.3 とそれ以前は、複数の HTTP エンドポイントでアクセス許可チェックを実行しないため、Overall/Read アクセス許可を持つ攻撃者が、通常はアクセスできないジョブに関する情報を取得する可能性があります。(CVE-2022-34785)

 - Jenkins Rich Text Publisher プラグイン 1.4 とそれ以前は、ポストビルドステップで設定された HTML メッセージをエスケープしないため、蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生し、攻撃者がジョブを設定できる可能性があります。(CVE-2022-34786)

 - Jenkins Project Inheritance プラグイン 21.04.03 とそれ以前は、ビルドがツールチップでブロックされている理由をエスケープしないため、キューアイテムがブロックされる理由を制御できる攻撃者によって悪用可能なクロスサイトスクリプティング (XSS) 脆弱性が存在します。(CVE-2022-34787)

 - Jenkins Matrix Reloaded プラグイン 1.1.3 およびそれ以前は、エージェント名をツールチップ内でエスケープしません。そのため、Agent/Configure アクセス許可を持つ攻撃者によって悪用可能な蓄積型クロスサイトスクリプティング (XSS) 脆弱性が存在します。(CVE-2022-34788)

 - Jenkins Matrix Reloaded プラグイン 1.1.3 とそれ以前には、クロスサイトリクエスト偽造 (CSRF) の脆弱性が存在し、攻撃者が以前のマトリックスビルドを再構築する可能性があります。(CVE-2022-34789)

 - Jenkins eXtreme Feedback Panel プラグイン 2.0.1 およびそれ以前は、ツールチップで使用されるジョブ名をエスケープしません。そのため、Item/Configure アクセス許可を持つ攻撃者によって悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が存在します。(CVE-2022-34790)

 - Jenkins Validating Email Parameter プラグイン 1.10 およびそれ以前では、そのパラメータータイプの名前と説明がエスケープされないため、Item/Configure アクセス許可を持つ攻撃者が悪用する可能性のある蓄積型クロスサイトスクリプティング (XSS) の脆弱性があります。(CVE-2022-34791)

 - Jenkins Recipe プラグイン 1.2 およびそれ以前では、クロスサイトリクエスト偽造 (CSRF) の脆弱性が存在し、攻撃者が攻撃者指定の URL に HTTP リクエストを送信し、その応答を XML として解析できる可能性があります。
 (CVE-2022-34792)

 - Jenkins Recipe プラグイン 1.2 およびそれ以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを設定していません。(CVE-2022-34793)

 - Jenkins Recipe プラグイン 1.2 およびそれ以前にアクセス許可チェックがないため、Overall/Read アクセス許可を持つ攻撃者が、攻撃者指定の URL に HTTP リクエストを送信し、その応答を XML として解析する可能性があります。
 (CVE-2022-34794)

 - Jenkins Deployment Dashboard プラグイン 1.0.10 およびそれ以前では、Deployment Dashboard ビュー上の環境名を適切にエスケープしていないため、View/Configure アクセス許可を持つ攻撃者が悪用することが可能な、蓄積型クロスサイトスクリプティング (XSS) の脆弱性が存在します。(CVE-2022-34795)

 - Jenkins Deployment Dashboard プラグイン 1.0.10 およびそれ以前では、Overall/Read アクセス許可のある攻撃者が Jenkins に蓄積された認証情報の認証情報 ID を列挙することが可能です。(CVE-2022-34796)

 - Jenkins Deployment Dashboard プラグイン 1.0.10 およびそれ以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者が攻撃者指定の認証情報を使用して、攻撃者指定の HTTP URL に接続することが可能です。(CVE-2022-34797)

 - Jenkins Deployment Dashboard プラグイン 1.0.10 およびそれ以前では、複数の HTTP エンドポイントで権限チェックを実行しないため、Overall/Read アクセス許可を持つ攻撃者が、攻撃者指定の資格情報を使用して、攻撃者指定の HTTP URL に接続することが可能な脆弱性が存在します。(CVE-2022-34798)

 - Jenkins Deployment Dashboard プラグイン 1.0.10 およびそれ以前では、Jenkins コントローラーでグローバル設定ファイルに蓄積されたパスワードが暗号化されていません。そのため Jenkins コントローラーファイルシステムへのアクセス権があるユーザーがそれを閲覧することが可能です。(CVE-2022-34799)

 - Jenkins Build Notifications プラグイン 1.5.0 およびそれ以前では、トークンが暗号化されていない状態で Jenkins コントローラーのグローバル設定ファイルに保存され、Jenkins コントローラーファイルシステムへのアクセス権を持つユーザーを表示できます。(CVE-2022-34800)

 - Jenkins Build Notifications プラグイン 1.5.0 およびそれ以前では、グローバルな Jenkins 設定フォームの一部としてトークンをプレーンテキストで送信しているため、結果として漏洩する可能性があります。(CVE-2022-34801)

 - Jenkins RocketChat Notifier プラグイン 1.5.2 およびそれ以前では、ログインパスワードおよび webhook トークンが暗号化されていない状態で Jenkins コントローラーのグローバル設定ファイルに保存され、Jenkins コントローラーファイルシステムへのアクセス権を持つユーザーがそれを表示できます。(CVE-2022-34802)

 - Jenkins OpsGenie プラグイン 1.9 およびそれ以前では、API キーは暗号化されていない状態でグローバル設定ファイルと Jenkins コントローラー上のジョブ config.xml ファイルに保存されるため、Jenkins コントローラーファイルシステムへの Extended Read アクセス許可 (config.xml) またはアクセス権を持っているユーザーが表示できる可能性があります。(CVE-2022-34803)

 - Jenkins OpsGenie プラグイン 1.9 およびそれ以前では、グローバルな Jenkins 設定フォームおよびジョブ設定フォームの一部として API キーをプレーンテキストで送信しているため、結果として漏洩する可能性があります。(CVE-2022-34804)

 - Jenkins Skype notifier プラグイン 1.1.0 およびそれ以前では、Jenkins コントローラーでグローバル設定ファイルに蓄積されたパスワードが暗号化されていません。そのため Jenkins コントローラーファイルシステムへのアクセス権があるユーザーがそれを閲覧することが可能です。(CVE-2022-34805)

 - Jenkins Jigomerge プラグイン 0.9 およびそれ以前では、パスワードは暗号化されていない状態で Jenkins コントローラーのジョブの config.xml ファイルに保存されているため、Jenkins コントローラーファイルシステムへの Extended Read アクセス許可またはアクセス権を持つユーザーが表示できます。(CVE-2022-34806)

 - Jenkins Elasticsearch Query プラグイン 1.2 およびそれ以前では、Jenkins コントローラーでグローバル設定ファイルに蓄積されたパスワードが暗号化されていません。そのため Jenkins コントローラーファイルシステムへのアクセス権があるユーザーがそれを閲覧することが可能です。(CVE-2022-34807)

 - Jenkins Cisco Spark プラグイン 1.1.1 およびそれ以前では、ベアラートークンが暗号化されていない状態で Jenkins コントローラーのグローバル設定ファイルに保存され、Jenkins コントローラーファイルシステムへのアクセス権を持つユーザーを表示できます。(CVE-2022-34808)

 - Jenkins RQM プラグイン 2.8 およびそれ以前では、Jenkins コントローラーでグローバル設定ファイルに蓄積されたパスワードが暗号化されていません。そのため Jenkins コントローラーファイルシステムへのアクセス権があるユーザーがそれを閲覧することが可能です。
 (CVE-2022-34809)

 - Jenkins RQM プラグイン 2.8 およびそれ以前では、チェックの欠落により、Overall/Read アクセス許可のある攻撃者が Jenkins に蓄積された認証情報の認証情報 ID を列挙することが可能です。(CVE-2022-34810)

 - Jenkins XPath Configuration Viewer プラグイン 1.1.1 およびそれ以前にアクセス許可チェックがないため、Overall/Read 権限を持つ攻撃者が、XPath Configuration Viewer ページにアクセスする可能性があります。(CVE-2022-34811)

 - Jenkins XPath Configuration Viewer プラグイン 1.1.1 およびそれ以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者が XPath 式を作成および削除できる可能性があります。(CVE-2022-34812)

 - Jenkins XPath Configuration Viewer プラグイン 1.1.1 およびそれ以前にアクセス許可チェックがないため、Overall/Read アクセス許可を持つ攻撃者が、XPath 式を作成および削除できる可能性があります。(CVE-2022-34813)

 - Jenkins Request Rename Or Delete プラグイン 1.1.0 およびそれ以前は、HTTP エンドポイントでアクセス許可チェックを正しく実行していないため、Overall/Read アクセス許可を持つ攻撃者が、保留中のリクエストが一覧表示されている管理設定ページを表示できる可能性があります。(CVE-2022-34814)

 - Jenkins Request Rename Or Delete プラグイン 1.1.0 およびそれ以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者が保留中のリクエストを受け入れ、ジョブの名前の変更または削除を行う可能性があります。(CVE-2022-34815)

 - Jenkins HPE Network Virtualization プラグイン 1.0 およびそれ以前では、パスワードが暗号化されていない状態で Jenkins コントローラーのグローバル設定ファイルに保存され、Jenkins コントローラーファイルシステムへのアクセス権を持つユーザーが表示できます。(CVE-2022-34816)

 - Jenkins Failed Job Deactivator プラグイン 1.2.1 およびそれ以前のクロスサイトリクエスト偽造 (CSRF) の脆弱性により、攻撃者がジョブを無効にする可能性があります。(CVE-2022-34817)

 - Jenkins Failed Job Deactivator プラグイン 1.2.1 およびそれ以前では、いくつかのビューおよび HTTP エンドポイントで権限チェックを実行しないため、Overall/Read アクセス許可を持つ攻撃者がジョブを無効にできる可能性があります。
 (CVE-2022-34818)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Jenkins プラグインを次のバージョンに更新してください。
 - Build Notifications プラグイン: ベンダーのアドバイザリを参照してください
 - build-metrics プラグイン: ベンダーのアドバイザリを参照してください
 - Cisco Spark プラグイン: ベンダーのアドバイザリを参照してください
 - Deployment Dashboard プラグイン: ベンダーのアドバイザリを参照してください
 - Elasticsearch Query プラグイン: ベンダーのアドバイザリを参照してください
 - eXtreme Feedback Panel プラグイン: ベンダーのアドバイザリを参照してください
 - Failed Job Deactivator プラグイン: ベンダーのアドバイザリを参照してください
 - GitLab プラグインのバージョン 1.5.35 以降
 - hpe-network-virtualization プラグイン: ベンダーのアドバイザリを参照してください
 - Jigomerge プラグイン: ベンダーのアドバイザリを参照してください
 - Matrix Reloaded プラグイン: ベンダーのアドバイザリを参照してください
 - OpsGenie プラグイン: ベンダーのアドバイザリを参照してください
 - Plot プラグイン: ベンダーのアドバイザリを参照してください
 - Project Inheritance プラグイン: ベンダーのアドバイザリを参照してください
 - Recipe プラグイン: ベンダーのアドバイザリを参照してください
 - Request Rename Or Delete プラグイン: ベンダーのアドバイザリを参照してください
 - requests-plugin プラグインのバージョン 2.2.17 以降
 - Rich Text Publisher プラグイン: ベンダーのアドバイザリを参照してください
 - RocketChat Notifier プラグイン: ベンダーのアドバイザリを参照してください
 - RQM プラグイン: ベンダーのアドバイザリを参照してください
 - Skype notifier プラグイン: ベンダーのアドバイザリを参照してください
 - TestNG Results プラグインバージョン 555.va0d5f66521e3 以降
 - Validating Email Parameter プラグイン: ベンダーのアドバイザリを参照してください
 - XebiaLabs XL Release プラグインバージョン 22.0.1 以降
 - XPath Configuration Viewer プラグイン: ベンダーのアドバイザリを参照してください

詳細については、ベンダーアドバイザリを参照してください。

参考資料

https://jenkins.io/security/advisory/2022-06-30

プラグインの詳細

深刻度: High

ID: 179363

ファイル名: jenkins_security_advisory_2022-06-30_plugins.nasl

バージョン: 1.1

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2023/8/4

更新日: 2023/8/7

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.5

現状値: 4.8

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS スコアのソース: CVE-2022-34793

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要な KB アイテム: installed_sw/Jenkins

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/6/30

脆弱性公開日: 2022/6/30

参照情報

CVE: CVE-2022-34777, CVE-2022-34778, CVE-2022-34779, CVE-2022-34780, CVE-2022-34781, CVE-2022-34782, CVE-2022-34783, CVE-2022-34784, CVE-2022-34785, CVE-2022-34786, CVE-2022-34787, CVE-2022-34788, CVE-2022-34789, CVE-2022-34790, CVE-2022-34791, CVE-2022-34792, CVE-2022-34793, CVE-2022-34794, CVE-2022-34795, CVE-2022-34796, CVE-2022-34797, CVE-2022-34798, CVE-2022-34799, CVE-2022-34800, CVE-2022-34801, CVE-2022-34802, CVE-2022-34803, CVE-2022-34804, CVE-2022-34805, CVE-2022-34806, CVE-2022-34807, CVE-2022-34808, CVE-2022-34809, CVE-2022-34810, CVE-2022-34811, CVE-2022-34812, CVE-2022-34813, CVE-2022-34814, CVE-2022-34815, CVE-2022-34816, CVE-2022-34817, CVE-2022-34818