Jenkins多个插件漏洞风险通告(2020.9.1)

  • A+
所属分类:安全漏洞


1

漏洞描述


Jenkins 2020年9月1日发布安全公告,通报了多款Jenkins 插件存在的安全漏洞。漏洞可能导致跨站脚本(XSS)攻击、跨站点请求伪造(CSRF)攻击,或密码泄露。

 

Jenkins是一款由Java编写的开源的持续集成工具,Jenkins提供了软件开发的持续集成服务。它运行在Servlet容器中(例如Apache Tomcat)。它支持软件配置管理(SCM)工具(包括AccuRev SCM、CVS、Subversion、Git、Perforce、Clearcase和RTC),可以执行基于Apache Ant和Apache Maven的项目,以及任意的Shell脚本和Windows批处理命令。

编号

漏洞名称

漏洞等级

受影响的版本

修复

版本

CVE-2020-2238

Git Parameter Plugin的XSS漏洞

高危

<=0.9.12

0.9.13

CVE-2020-2239

Parameterized Remote  Trigger Plugin 漏洞可能导致信息泄露

<=3.1.3

3.1.4

CVE-2020-2240

database Plugin的跨站请求伪造(CSRF)漏洞

高危

<=1.6

1.7

CVE-2020-2241/CVE-2020-2242

database Plugin 的CSRF漏洞和权限检查漏洞

中危

<=1.6

1.7

CVE-2020-2243

Cadence vManager  Plugin中的XSS漏洞

高危

<=3.0.4

3.0.5

CVE-2020-2244

Build Failure Analyzer  Plugin中的XSS漏洞

高危

<=1.27.0

1.27.1

CVE-2020-2245

Valgrind Plugin中的XXE漏洞(XML外部实体攻击)

高危

<=0.28

尚未修复

CVE-2020-2246

Valgrind Plugin 中的存储XSS漏洞

高危

<=0.28

尚未修复

CVE-2020-2247

Klocwork Analysis  Plugin中的XXE漏洞(XML外部实体攻击)

高危

<=2020.2.1

尚未修复

CVE-2020-2248

JSGames Plugin中的XSS漏洞

高危

<=0.2

尚未修复

CVE-2020-2249

Team Foundation Server  Plugin中以纯文本存储凭据漏洞

低危

<=5.157.1

尚未修复

CVE-2020-2250

SoapUI Pro Functional  Testing Plugin中以纯文本存储凭据漏洞

中危

<=1.4

尚未修复

 

CVE-2020-2251

SoapUI Pro Functional  Testing Plugin中以纯文本传输密码漏洞

中危

<=1.4,影响2.236之前的Jenkins

尚未修复


2漏洞修复方案


腾讯安全专家建议用户密切关注Jenkins官方通告的进一步信息,及时安装最新版本。截止目前,上述已公告的安全漏洞中,已修复6个漏洞,尚有7个未修复。


参考链接

https://www.jenkins.io/security/advisory/2020-09-01/#SECURITY-1023

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: