検出

Jenkins プラグインの複数の脆弱性 (2023 年 10 月 25 日)

high Nessus プラグイン ID 183879

Language:

概要

リモートの Web サーバーホストで実行されているアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告によるバージョン番号によると、リモート Web サーバー上で実行されているバージョンの Jenkins プラグインは、次の複数の脆弱性の影響を受けます。

 - 深刻度高 GitHub プラグイン 1.37.3 以前は、変更を表示する際に、ビルドページで GitHub プロジェクト URL をエスケープしません。これにより、Item / Configure アクセス許可を持つ攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。GitHub プラグイン 1.37.3.1 は、変更を表示する際に、ビルドページで GitHub プロジェクト URL をエスケープします。(CVE-2023-46650)

 - 深刻度中 Warnings プラグイン 10.5.0 以前は、認証情報検索に適切なコンテキストを設定しないため、グローバル設定用に予約されたシステムスコープの認証情報を使用できます。これにより、アイテム / 設定アクセス許可を持つ攻撃者が、資格のない認証情報にアクセスして取得する可能性があります。
 Warnings プラグイン 10.5.1 は、認証情報検索用の適切なコンテキストを定義します。(CVE-2023-46651)

 - 深刻度中 lambdatest-automation プラグイン 1.20.9 以前は、HTTP エンドポイントでアクセス許可チェックを実行しません。これにより、Overall/Read アクセス許可を持つ攻撃者が、Jenkins に蓄積された LAMBDATEST 認証情報 ID を列挙する可能性があります。これらを攻撃の一部として利用し、別の脆弱性を利用して認証情報を取得する可能性があります。lambdatest-automation プラグイン 1.20.10 での認証情報 ID の列挙には、Overall / Administer アクセス許可が必要です。(CVE-2023-46652)

 - 深刻度低 lambdatest-Automation プラグイン 1.20.10 以前は、LAMBDATEST 認証情報アクセストークンを INFO レベルで記録します。これにより、デフォルトのシステムログを通じてトークンが偶発的に漏洩する可能性があります。lambdatest-Automation プラグイン 1.21.0 は、LAMBDATEST 認証情報アクセストークンをログに記録しなくなりました。(CVE-2023-46653)

 - 深刻度高 CloudBees CD プラグインで、以前にエージェントからコントローラーにコピーされたアーチファクトが、公開後に「CloudBees CD - アーチファクトの公開」ビルド後のステップで削除されます。CloudBees CD プラグイン 1.1.32 以前は、このクリーンアッププロセス中に、想定されたディレクトリ外の場所へのシンボリックリンクに従います。これにより、攻撃者は、Jenkins コントローラーファイルシステム上の任意のファイルを削除するようにジョブを構成できます。CloudBees CD プラグイン 1.1.33 は、シンボリックリンクをたどらずに削除します。
 (CVE-2023-46654)

 - 深刻度中 CloudBees CD プラグインは、「CloudBees CD - Publish Artifact」ビルド後のステップで公開する準備として、ファイルをエージェントワークスペースからコントローラーに一時的にコピーします。CloudBees CD プラグイン 1.1.32 以前は、公開するファイルのリストを収集する際に、シンボリックリンクに従い、コントローラーの一時ディレクトリ以外の場所に移動します。これにより、攻撃者がジョブを構成して、Jenkins コントローラーファイルシステムから以前に構成した CloudBees CD サーバーに任意のファイルを公開する可能性があります。CloudBees CD プラグイン 1.1.33 は、想定されるディレクトリ内にあるファイルのみが公開されるようにします。(CVE-2023-46655)

 - 深刻度低マルチブランチスキャン Webhook トリガープラグイン 1.0.9 以前は、提供された Webhook トークンと予期される Webhook トークンが等しいかどうかをチェックする際に、一定時間の比較を使用しません。そのため、攻撃者が統計的手法を用いて、有効な webhook トークンを取得する可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-46656)

 - 深刻度低 Gogs プラグイン 1.0.15 以前は、提供された Webhook トークンと予期される Webhook トークンが等しいかどうかをチェックする際に、一定時間の比較を使用しません。そのため、攻撃者が統計的手法を用いて、有効な webhook トークンを取得する可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-46657)

 - 深刻度低 MSTeams Webhook トリガープラグイン 0.1.1 以前は、提供された Webhook トークンと予期される Webhook トークンが等しいかどうかをチェックする際に、一定時間の比較を使用しません。そのため、攻撃者が統計的手法を用いて、有効な webhook トークンを取得する可能性があります。このアドバイザリの公開時点では、修正はありません。
 弊社がこれを発表する理由をご覧ください。(CVE-2023-46658)

 - 深刻度高 Edgewall Trac プラグイン 1.13 以前は、ビルドページで Trac Web サイトの URL をエスケープしません。これにより、Item / Configure アクセス許可を持つ攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
 (CVE-2023-46659)

 - 深刻度低 Zanata プラグイン 0.6 以前は、提供された Webhook トークンと予期される Webhook トークンハッシュが等しいかどうかをチェックする際に、一定時間の比較を使用しません。そのため、攻撃者が統計的手法を用いて、有効な webhook トークンを取得する可能性があります。このアドバイザリの公開時点では、修正はありません。
 弊社がこれを発表する理由をご覧ください。(CVE-2023-46660)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Jenkins プラグインを次のバージョンに更新してください。
 - CloudBees CD プラグインをバージョン 1.1.33 以降にします
- Edgewall Trac プラグイン: ベンダーのアドバイザリを参照してください
 - GitHub プラグインをバージョン 1.37.3.1 以降にします
 - プラグイン: ベンダーのアドバイザリを参照してください
 - lambdatest-Automation プラグインをバージョン 1.20.10 / 1.21.0 以降にします
 - MSTeams Webhook トリガープラグイン: ベンダーのアドバイザリを参照してください
 - Multibranch Scan Webhook トリガープラグイン:ベンダーのアドバイザリを参照してください
 - Warnings プラグインをバージョン 10.5.1 以降にします
 - Zanata プラグイン: ベンダーのアドバイザリを参照してください

詳細については、ベンダーアドバイザリを参照してください。

参考資料

https://jenkins.io/security/advisory/2023-10-25

プラグインの詳細

深刻度: High

ID: 183879

ファイル名: jenkins_security_advisory_2023-10-25_plugins.nasl

バージョン: 1.2

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2023/10/25

更新日: 2023/11/2

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: High

基本値: 8.5

現状値: 6.3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:C/A:C

CVSS スコアのソース: CVE-2023-46654

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins

必要な KB アイテム: installed_sw/Jenkins

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/10/25

脆弱性公開日: 2023/10/25

参照情報

CVE: CVE-2023-46650, CVE-2023-46651, CVE-2023-46652, CVE-2023-46653, CVE-2023-46654, CVE-2023-46655, CVE-2023-46656, CVE-2023-46657, CVE-2023-46658, CVE-2023-46659, CVE-2023-46660