检测
分析学
Jenkins插件多重易变性(2022-09-21)
关键值奈苏斯插件识别号165767
语言 :
简表
远程网络服务器主机运行程序受多重漏洞影响描述性
Jenkins插件运行远程网络服务器受多重漏洞影响Jenkins webUI上某些帮助图标使用helpIconUI工具库2 367-2.369(兼并性)无法逃脱,结果存储跨站脚本易失性可被能够控制工具库组件攻击者利用(CVE-2022-41224)
Jenkins Anchore容器扫描器1.0.24插件和前文无法逃避Anchore引擎API提供的内容,结果存储出跨站脚本易失用性,攻击者可用以控制Anchore引擎对API响应(CVE-2022-41225)
Jenkins Compuware公共插件1.0.14和前置不配置 XML解析器以防止 XML外部实体攻击(CVE-2022-41226)
- JenkinsNS-ND集成性能发布器4.8.0.129及更早允许攻击者使用攻击者指定的网络服务器连接(CVE-2022-41227)
JenkinsNS-ND集成性能发布器4.8.129及更早允许Corder/Read权限攻击者使用攻击者指定证书连接攻击者指定的网络服务器(CVE-2022-41228)
JenkinsNS-ND整合性能发布器插件4.8.134和前文无法逃避执行NetStorm/NetCloud测试阶梯配置选项,结果存储出跨站脚本易失用性可用攻击者使用项目/配置许可(CVE-2022-41229)
JenkinsBuilding-Plisher插件1.22和前文不执行HTTP端点许可检查,允许Corder/Read权限攻击者获取Jenkins服务器名称和URLs(CVE-2022-41230)
JenkinsBuilding-Publisher插件1.22和前期允许项目/配置权限攻击者创建或替换Jenkins控制文件系统上的任何配置.xml文件,向API端点提供编译文件名(CVE-2022-41231)
JenkinsBuilding-Publisher插件1.22中的跨站请求仿真允许攻击者用空文件替换Jenkins控制器系统上的任何config.xml文件(CVE-2022-41232)
Jenkins Rundeck插件3.6.11和前文不执行多HTTP端点Run/Artifacts权限检验,允许拥有项目/阅读权限攻击者获取信息,如果允许可选Run/Atifacts权限(CVE-2022-41233)
Jenkins Rundeck插件3.6.11和前文保护访问/插件/undeck/webhook/端点(CVE-2022-41234)
Jenkins WardFly部署者插件1.0.2和前台工具功能允许代理程序读取Jenkins控制器系统任意文件(CVE-2022-41235)
Jenkins安全检查员插件117v6eecc369c2和前期允许攻击者替换储存在单片缓存中并显示给./报告URL授权用户使用基于攻击者报告生成选项的报告(CVE-2022-41236)
JenkinsDotCi插件2.40.00和前文不配置YAML解析器以防止任意类型即时化,结果产生远程代码执行漏洞(CVE-2022-41237)
JenkinsDotCi插件2.40.00和前期缺失许可检查允许非认证攻击者启动与攻击者指定攻击者实施匹配的工作
(CVE-2022-41238)
JenkinsDotCi插件 2.4.0.00和前文并存GitHub用户名参数(CVE-2022-41239)
JenkinsWalti插件1.0.1和前文信息都无法逃避WaltiAPI提供的信息,结果储存出跨站脚本易失用性,攻击者可用它提供Walti恶意API响应(CVE-2022-41240)
JenkinsRQM插件2.8和前置不配置 XML解析器以防止 XML外部实体攻击(CVE-2022-41241)
Jenkins极端回溯插件1.7和前期缺失许可检查允许攻击者全读权限查找插件名信息,发现mac和IP地址并重命名灯(CVE-2022-41242)
Jenkins SmallTest插件1.0.4和前文不执行主机名验证(CVE-2022-41243)
JenkinsView26测试报告插件1.07和稍早不执行主机名验证(CVE-2022-41244)
JenkinsWorkSoft执行管理员插件10.0.3.503和前期允许攻击者使用通过另一种方法获取攻击者指定证书识别码连接攻击者指定的URL(CVE-2022-41245)
JenkinsWorkSoft执行管理员插件10.0.3.503缺失许可检查,先前允许Corder/Read权限攻击者使用通过另一种方法获取的证书标识连接攻击者指定的URL(CVE-2022-41246)
Jenkins大Panda通知插件1.4.0和前几商店大PandaAPI键解密Jenkins控制器全局配置文件(CVE-2022-41247)
Jenkins BigPanda通知插件1.4.0和前面不掩码大PandaAPI键全局配置表(CVE-2022-41248)
Jenkins SCM HtpClient插件1.5和前置允许攻击者使用由攻击者指定的证书识别码连接攻击者指定的HTTP服务器(CVE-2022-41249)
JenkinsSCMHtpClient插件1.5和前期缺失权限检查允许Corder/Read权限攻击者使用通过另一种方法获取攻击者指定证书识别码连接攻击者指定的HTTP服务器,捕捉Jenkins存储证书(CVE-2022-41250)
Jenkins Apprenda插件2.2.0缺失许可检验(CVE-2022-41251)
Jenkinscons3RT插件1.0和前文缺失权限检验允许拥有Cense/Read权限的用户列录Jenkins存储证书证书标识(CVE-2022-41252)
Jenkinscons3RT插件1.0.0和前期允许攻击者使用通过另一种方法获取攻击者专用证书识别码连接攻击者指定的HTTP服务器,捕捉Jenkins存储的证书(CVE-2022-41253)
Jenkinscons3RT插件1.0.0缺失权限检验并稍早允许Corder/Read权限攻击者使用通过另一种方法获取攻击者指定证书识别码连接攻击者指定的HTTP服务器,捕捉Jenkins存储证书(CVE-2022-41254)
Jenkinsconfig.xml文档中未加密的Cons3rta
(CVE-2022-41255)
注意Nessus没有测试这些问题,而是只依赖应用自报版号
求解
Jenkins插件更新如下版本容器图像扫描插件1.0.25版或以后
Apprenda插件:见卖主咨询
大熊猫通知插件:见卖主咨询
建设-发布器插件:见卖主咨询
compufe公共配置插件1.0.15版或以后
CONS3RT插件:见卖主咨询
DotCi插件:见卖主咨询
极速回溯插件:见卖主咨询
NS-ND整合性能发布器插件:见供应商咨询
RQM插件:见供应商咨询
鲁德克插件:见卖主咨询
SCM HtpClient插件:见卖主咨询
安全督察插件:见卖主咨询
小测试插件:见卖主咨询
View26测试报告插件:见供应商咨询
Walti插件:见卖主咨询
野战部署者插件:见卖主咨询
工作软化执行管理插件:见卖主咨询
更多细节见厂商咨询
并见
插件细节
严重性 :临界点
身份证 :165767
文件名 :jenkins_security_advisory_2022-09-21_plugins.nasl
版本化 :1.4
类型 :合并式
代理 :窗口内,mcosx,unix连接
家庭问题 :CGI滥用
发布 :10/7/2022
更新 :7/28/2023
支持传感器 :内苏斯代理
风险信息
VPR
风险因子 :中度
分数 :5点9分
CVSS v2
风险因子 :临界点
基础评分 :10
时间评分 :7.4
向量 :CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS评分源 :CVE2022-41253
CVSSv3
风险因子 :临界点
基础评分 :九点八
时间评分 :8.5
向量 :CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间向量 :CVSS:3.0/E:U/RL:O/RC:C
CVSS评分源 :CVE2022-41238
漏洞信息
CPE系统 :cpe:/a:cloudbees:jenkins,cpe:/a:jenkins:jenkins
需要kb项 :installed_sw/Jenkins
开发易斯 :无已知利用
补丁发布日期 :9/21/2022
漏洞发布日期 :9/21/2022
参考信息
CVE系统 :CVE2022-41224,CVE2022-41225,CVE2022-41226,CVE2022-41227,CVE2022-41228,CVE2022-41229,CVE2022-41230,CVE2022-412,CVE2022-41232,CVE2022-412,CVE2022-412,CVE2022-41235,CVE2022-41236,CVE2022-41237,CVE2022-41238,CVE2022-41239,CVE2022-41240,CVE2022-412,CVE2022-412,CVE2022-41243,CVE2022-41244,CVE2022-41245,CVE2022-41246,CVE2022-41247,CVE2022-41248,CVE2022-41249,CVE-2022-41250,CVE2022-41251,CVE2022-41252,CVE2022-41253,CVE2022-41254,CVE2022-4125