検出

Jenkins プラグインの複数の脆弱性 (2023 年 8 月 16 日)

high Nessus プラグイン ID 180006

Language:

概要

リモートの Web サーバーホストで実行されているアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告によるバージョン番号によると、リモート Web サーバー上で実行されているバージョンの Jenkins プラグインは、次の複数の脆弱性の影響を受けます。

 - 重要度高 Folders Plugin 6.846.v23698686f0f6 以前は、HTTP エンドポイントに対して POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者はアイテムをコピーすることができ、これによってサンドボックス化されていないスクリプトが自動的に承認され、安全でないスクリプトが実行される可能性があります。Script Security Plugin 1265.va_fb_290b_4b_d34 および 1251.1253.v4e638b_e3b_221 に改善が追加されたことにより、管理者がジョブをコピーする際に、サンドボックス化されていないされたスクリプトの自動承認が妨げられ、この脆弱性の影響が大幅に軽減されます。Folders Plugin 6.848.ve3b_fd7839a_81 には、影響を受ける HTTP エンドポイントに対する POST リクエストが必要です。(CVE-2023-40336)

 - 重要度中 Folders Plugin 6.846.v23698686f0f6 以前は、HTTP エンドポイントに対して POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者はフォルダ内でビューをコピーできます。Folders Plugin 6.848.ve3b_fd7839a_81 には、影響を受ける HTTP エンドポイントに対する POST リクエストが必要です。(CVE-2023-40337)

 - 重要度中 ログがない場合にスキャン組織フォルダログにアクセスしようとすると、Folders Plugin がエラーメッセージを表示します。Folders Plugin 6.846.v23698686f0f6 以前では、このエラーメッセージにログファイルの絶対パスが含まれ、Jenkins コントローラーファイルシステムに関する情報が漏洩します。Folders Plugin 6.848.ve3b_fd7839a_81 で、エラーメッセージのログファイルの絶対パスが表示されません。
 (CVE-2023-40338)

 - 重要度中 Config File Provider Plugin 952.va_544a_6234b_46 以前は、設定ファイルがビルドログに書き込まれるときに、設定ファイルで指定された認証情報をマスクしません (つまり、アスタリスクで置換します)。Config File Provider Plugin 953.v0432a_802e4d2 は、設定ファイルで設定された認証情報がビルドログに表示される場合、それらをマスクします。(CVE-2023-40339)

 - 重要度中 NodeJS Plugin は Config File Provider Plugin と統合され、Npm 設定ファイルで認証用の認証情報を含むカスタム NPM 設定を指定します。NodeJS Plugin 1.6.0 以前は、Pipeline ビルドログの Npm 設定ファイルで指定された認証情報を適切にマスク (すなわち、アスタリスクで置換) しません。
 NodeJS Plugin 1.6.0.1 は、Pipeline ビルドログの Npm 設定ファイルで指定された認証情報をマスクします。
 (CVE-2023-40340)

 - 重要度中 Blue Ocean Plugin 1.27.5 以前は、HTTP エンドポイントに対して POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が攻撃者が指定した URL に接続し、攻撃者が指定したジョブに関連する GitHub 認証情報を取得する可能性があります。これは、SECURITY-2502 に対する修正が不完全だったため生じています。Blue Ocean Plugin 1.27.5.1 は、HTTP エンドポイントへのパラメーターとして提供されたユーザー指定の URL の代わりに、設定された SCM URL を使用します。(CVE-2023-40341)

 - 重要度中 Fortify Plugin 22.1.38 以前では、複数の HTTP エンドポイントでアクセス許可チェックを実行しません。
 これにより、Overall / Read アクセス許可を持つ攻撃者が、他の方法によって取得した攻撃者指定の認証情報 ID を使って攻撃者指定の URL に接続し、Jenkins に保存されている認証情報を取得する可能性があります。
 さらに、これらの HTTP エンドポイントは POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。Fortify Plugin 22.2.39 では、影響を受ける HTTP エンドポイントに対して POST リクエストおよび適切なアクセス許可が必要です。(CVE-2023-4301、CVE-2023-4302)

 - 重要度高 Fortify Plugin 22.1.38 以前が、フォーム検証メソッドのエラーメッセージをエスケープしません。
 これにより、HTML インジェクションの脆弱性が発生します。Jenkins 2.275 および LTS 2.263.2 以降では、フォーム検証応答のセキュリティ強化によって JavaScript の実行が阻止され、スクリプトが注入されることはありません。Fortify Plugin 22.2.39 は、エラーメッセージから HTML タグを削除します。(CVE-2023-4303)

 - 重要度高 Flaky Test Handler Plugin 1.2.2 以前は、Jenkins UI に表示する際に JUnit テストコンテンツをエスケープしません。これにより、Unit レポートファイルの内容を制御できる攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生します。Flaky Test Handler Plugin 1.2.3 は、Jenkins UI に表示する際に JUnit テストコンテンツをエスケープしません。(CVE-2023-40342)

 - 重要度低 Tuleap 認証プラグイン 1.1.20 以前は、2 つの認証トークンが等しいかどうかをチェックする際に、一定時間の比較を使用しません。そのため、攻撃者が統計的手法を用いて、有効な認証トークンを取得する可能性があります。Tuleap Authentication Plugin 1.1.21 は、認証トークンを検証する際に一定時間の比較を使用しています。(CVE-2023-40343)

 - Medium Delphix Plugin 3.0.2 以前は、HTTP エンドポイントでアクセス許可チェックを実行しません。これにより、Overall/Read アクセス許可を持つ攻撃者が、Jenkins に蓄積された認証情報 ID を列挙する可能性があります。これらを攻撃の一部として利用し、別の脆弱性を利用して認証情報を取得する可能性があります。Delphix Plugin 3.0.3 の認証情報 ID の列挙には、適切なアクセス許可が必要です。
 (CVE-2023-40344)

 - 重要度中 Medium Delphix Plugin 3.0.2 以前は、認証情報検索に適切なコンテキストを設定しないため、グローバル設定用に予約されたシステムスコープの認証情報を使用できます。これにより、Overall/READ アクセス許可を持つ攻撃者が、資格のない認証情報にアクセスしてキャプチャする可能性があります。Delphix プラグイン 3.0.3 は、認証情報検索用の適切なコンテキストを定義します。(CVE-2023-40345)

 -Shortcut Job Plugin 0.4 以前は、ショートカットリダイレクト URL をエスケープしません。これにより、レポートファイルの内容を制御できる攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生する可能性があります。
 Shortcut Job Plugin 0.5 以前は、ショートカットリダイレクト URL をエスケープしません。(CVE-2023-40346)

 - 重要度中 Maven Artifact ChoiceListProvider (Nexus) Plugin 1.14 以前は、認証情報検索に適切なコンテキストを設定しないため、グローバル設定用に予約されたシステムスコープの認証情報を使用できます。これにより、アイテム / 設定アクセス許可を持つ攻撃者が、資格のない認証情報にアクセスして取得する可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-40347)

 - 重要度中 Gogs プラグインは、/gogs-webhook で Webhook エンドポイントを提供します。これを使用して、ジョブのビルドをトリガーできます。Gogs Plugin 1.0.15 以前では、この webhook の Gogs シークレットを指定するオプションが提供されていますが、デフォルトでは有効になっていません。これにより、認証されていない攻撃者が、攻撃者が指定したジョブ名に対応するジョブのビルドをトリガーする可能性があります。さらに、攻撃者にアクセス許可がない場合でも、攻撃者が指定したジョブ名に対応するジョブが存在するかどうかが webhook エンドポイントの出力に含まれます。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
 (CVE-2023-40348, CVE-2023-40349)

 - 重要度高 Docker Swarm Plugin が Docker の応答を処理して、Docker Swarm ダッシュボードビューを生成します。Docker Swarm Plugin 1.11 以前は、Docker Swarm ダッシュボードビューに挿入する前に、Docker から返された値をエスケープしません。これにより、Docker からの応答を制御できる攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生します。このアドバイザリの公開時点では、修正はありません。
 弊社がこれを発表する理由をご覧ください。(CVE-2023-40350)

 - 重要度中 Favorite View Plugin 5.v77a_37f62782d 以前は、HTTP エンドポイントに対して POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が別のユーザーのお気に入りビュータブバーのビューを追加または削除する可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-40351)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Jenkins プラグインを次のバージョンに更新してください。
 - Blue Ocean プラグインのバージョン 1.27.5.1 以降
 - File Provider Plugin をバージョン 953.v0432a_802e4d2 以降に設定します
 - Delphix プラグインのバージョン 3.0.3 以降
 - Docker Swarm プラグイン: ベンダーのアドバイザリを参照してください
 - お気に入りビュープラグイン: ベンダーのアドバイザリを参照してください
 - Flaky テストハンドラープラグインのバージョン 1.2.3 以降
 - Folders Plugin のバージョン 6.848.ve3b_fd7839a_81 以降に更新
 - Fortify Plugin のバージョン 22.2.39 以降
 - プラグイン: ベンダーのアドバイザリを参照してください
 - Maven Artifact ChoiceListProvider (Nexus) プラグイン: ベンダーのアドバイザリを参照してください
 - NodeJS Plugin のバージョン 1.6.0.1 以降
 - Shortcut Job Plugin をバージョン 0.5 以降に更新
 - Tuleap 認証プラグインをバージョン 1.1.21 以降に更新

詳細については、ベンダーアドバイザリを参照してください。

参考資料

https://jenkins.io/security/advisory/2023-08-16

プラグインの詳細

深刻度: High

ID: 180006

ファイル名: jenkins_security_advisory_2023-08-16_plugins.nasl

バージョン: 1.2

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2023/8/21

更新日: 2024/6/5

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-40341

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:jenkins:jenkins, cpe:/a:cloudbees:jenkins

必要な KB アイテム: installed_sw/Jenkins

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/8/16

脆弱性公開日: 2023/8/16

参照情報

CVE: CVE-2023-40336, CVE-2023-40337, CVE-2023-40338, CVE-2023-40339, CVE-2023-40340, CVE-2023-40341, CVE-2023-40342, CVE-2023-40343, CVE-2023-40344, CVE-2023-40345, CVE-2023-40346, CVE-2023-40347, CVE-2023-40348, CVE-2023-40349, CVE-2023-40350, CVE-2023-40351, CVE-2023-4301, CVE-2023-4302, CVE-2023-4303