Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞

admin 2022年8月5日00:01:15安全漏洞评论24 views1600字阅读5分20秒阅读模式

Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

开源 DevOps 平台 Jenkins 提醒用户,注意十几款插件中的未修复漏洞。

Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞

Jenkins 是领先的开源自动化服务器,提供数千个插件支持、部署和自动化项目。Jenkins 最新安全公告列出27个插件漏洞,其中5个漏洞为高危漏洞,这些漏洞多数并未修复。


Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞
五个严重漏洞
Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞


在这五个高危漏洞中,第一个是位于 Coverity 插件中的跨站点请求伪造 (CSRF) 漏洞(CVE-2022-36920)。该插件未能在HTTP端点中执行权限检查。另外,该HTTP端点未要求POST请求,从而打开CSRF攻击之门。

CLIF 性能插件中存在一个任意文件写漏洞 (CVE-2022-26894),可导致具有“全部/读”权限的攻击者在含有攻击者指定内容的 Jenkins 控制器文件系统上创建或替换任意文件。

Dynamic Extended Choice Parameter 插件和Maven Metadata 插件中存在存储型跨站脚本 (XSS) 漏洞,编号分别为CVE-2022-36905 和CVE-2022-36902,而Lucene-Search 插件中存在一个反射性XSS 漏洞 (CVE-2022-36922)。


Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞
披露
Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞


在Jenkins 最新安全公告所列出的27个插件漏洞中,其中18个漏洞并未修复,实际上是0day漏洞。

Jenkins 安全官 Wadeck Follonier 在谈到为何在无修复方案的前提下披露这些漏洞时,他表示,“Jenkins 安全团队的主要目标是确保 Jenkins 插件生态系统尽可能安全。像我们这样大的插件生态系统,出现如下情况并不令人惊讶:并非所有插件都获得维护、有时候联系不到维护人员、维护人员未回复或者未告知我们已无法维护该插件等。在这种情况下,我们深入分析漏洞,编写详细描述并在安全公告中与其它已修复漏洞一起公开。”

Follonier 补充道,“我们认为公开无修复方案的漏洞是解决难题的最佳解决方案,因为它可使管理员仔细考虑是否继续使用受影响插件。除了Jenkins 安全公告邮件列表和我们的社交渠道外,我们会在公告发布后直接在UI上告知管理员影响他们Jenkins实例的漏洞,所以所有Jenkins 管理员均知晓情况。我们对Jenkins 管理员的建议是阅读我们的安全公告,了解自己是否受影响。例如,很多漏洞与哪些只有一个无法被他人访问的管理员用户的实例不相关。当然,如果他们不确定自己是否受影响,最安全的做法就是卸载插件。”




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文
奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2?
Jenkins 披露多个组件中的29个未修复0day
Jenkins 内部服务器遭访问且被部署密币挖机
开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击
开源的 Jenkins 服务器配置不当或导致著名机构敏感数据遭泄露
LibreOffice、OpenOffice 漏洞可导致黑客欺骗已签名文档



原文链接

https://portswigger.net/daily-swig/jenkins-security-unpatched-xss-csrf-bugs-included-in-latest-plugin-advisory


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞
Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月5日00:01:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞 http://cn-sec.com/archives/1222802.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: