聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
开源 DevOps 平台 Jenkins 提醒用户,注意十几款插件中的未修复漏洞。
Jenkins 是领先的开源自动化服务器,提供数千个插件支持、部署和自动化项目。Jenkins 最新安全公告列出27个插件漏洞,其中5个漏洞为高危漏洞,这些漏洞多数并未修复。
在这五个高危漏洞中,第一个是位于 Coverity 插件中的跨站点请求伪造 (CSRF) 漏洞(CVE-2022-36920)。该插件未能在HTTP端点中执行权限检查。另外,该HTTP端点未要求POST请求,从而打开CSRF攻击之门。
CLIF 性能插件中存在一个任意文件写漏洞 (CVE-2022-26894),可导致具有“全部/读”权限的攻击者在含有攻击者指定内容的 Jenkins 控制器文件系统上创建或替换任意文件。
Dynamic Extended Choice Parameter 插件和Maven Metadata 插件中存在存储型跨站脚本 (XSS) 漏洞,编号分别为CVE-2022-36905 和CVE-2022-36902,而Lucene-Search 插件中存在一个反射性XSS 漏洞 (CVE-2022-36922)。
在Jenkins 最新安全公告所列出的27个插件漏洞中,其中18个漏洞并未修复,实际上是0day漏洞。
Jenkins 安全官 Wadeck Follonier 在谈到为何在无修复方案的前提下披露这些漏洞时,他表示,“Jenkins 安全团队的主要目标是确保 Jenkins 插件生态系统尽可能安全。像我们这样大的插件生态系统,出现如下情况并不令人惊讶:并非所有插件都获得维护、有时候联系不到维护人员、维护人员未回复或者未告知我们已无法维护该插件等。在这种情况下,我们深入分析漏洞,编写详细描述并在安全公告中与其它已修复漏洞一起公开。”
Follonier 补充道,“我们认为公开无修复方案的漏洞是解决难题的最佳解决方案,因为它可使管理员仔细考虑是否继续使用受影响插件。除了Jenkins 安全公告邮件列表和我们的社交渠道外,我们会在公告发布后直接在UI上告知管理员影响他们Jenkins实例的漏洞,所以所有Jenkins 管理员均知晓情况。我们对Jenkins 管理员的建议是阅读我们的安全公告,了解自己是否受影响。例如,很多漏洞与哪些只有一个无法被他人访问的管理员用户的实例不相关。当然,如果他们不确定自己是否受影响,最安全的做法就是卸载插件。”
https://portswigger.net/daily-swig/jenkins-security-unpatched-xss-csrf-bugs-included-in-latest-plugin-advisory
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论