Jenkins < 1.551/1.532.2 と Jenkins Enterprise 1.509.x/1.532.x < 1.509.5.1/1.532.2.2 複数の脆弱性
high Nessus プラグイン ID 72685
Language:
概要
リモート Web サーバーは、複数の脆弱性の影響を受けるジョブスケジューリング/管理システムをホストします。説明
リモート Web サーバーは、複数の脆弱性の影響を受けるバージョンの Jenkins または Jenkins Enterprise をホストします。-デファルトのマークアップフォーマッターの欠陥により、ユーザー構成内の説明フィールドを介して、クロスサイトスクリプティングが発生する可能性があります。(CVE-2013-5573)
-セキュリティバイパスの脆弱性により、リモートの認証された攻撃者が構成を変更して、任意のジョブを実行する可能性があります。(CVE-2013-7285、CVE-2013-7330、CVE-2014-2058)
-Winstone サーブレットの詳細不明な欠陥により、リモートの攻撃者がセッションをハイジャックする可能性があります。(CVE-2014-2060)
-「PasswordParameterDefinition」の入力コントロールの欠陥により、リモートの攻撃者がパスワードを含む機密情報を漏洩する可能性があります。(CVE-2014-2061)
- ユーザーが削除された際に API トークンが無効化されていないことによるセキュリティバイパスの脆弱性。
(CVE-2014-2062)
-詳細不明な欠陥により、リモートの攻撃者がクリックジャッキング攻撃を引き起こす可能性があります。(CVE-2014-2063)
-「loadUserByUsername」関数での情報漏洩の脆弱性により、リモートの攻撃者がログインの失敗に関連するベクトルを通じて、ユーザーの存在の有無を割り出す可能性があります。(CVE-2014-2064)
-「iconSize」クッキーへの不適切な入力検証による、クロスサイトスクリプティングの脆弱性。
(CVE-2014-2065)
- セッション固定の脆弱性により、リモートの攻撃者が Web セッションをハイジャックする可能性があります。(CVE-2014-2066)
-「hudson/util/RemotingDiagnostics.java」の「doIndex」関数における情報漏洩の脆弱性により、「管理者」権限を有するリモートの認証されたユーザーがヒープダンプを介して、機密情報を取得する可能性があります。(CVE-2014-2068)
ソリューション
Jenkins 1.551 / 1.532.2、Jenkins Enterprise 1.509.5.1 / 1.532.2.2 またはそれ以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 72685
ファイル名: jenkins_1_551.nasl
バージョン: 1.13
タイプ: combined
エージェント: windows, macosx, unix
ファミリー: CGI abuses
公開日: 2014/2/25
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2014-2063
脆弱性情報
CPE: cpe:/a:cloudbees:jenkins, cpe:/a:jenkins:jenkins
必要な KB アイテム: installed_sw/Jenkins
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/2/14
脆弱性公開日: 2014/2/14
参照情報
CVE: CVE-2013-5573, CVE-2013-7285, CVE-2013-7330, CVE-2014-2058, CVE-2014-2060, CVE-2014-2061, CVE-2014-2062, CVE-2014-2063, CVE-2014-2064, CVE-2014-2065, CVE-2014-2066, CVE-2014-2068