Jenkins Plugins 多个安全漏洞风险通告
发布时间 2020-01-17漏洞编号和级别
CVE编号:CVE-2020-2095,危险级别:中危,CVSS分值:官方未评定
CVE编号:CVE-2020-2094,危险级别:中危,CVSS分值:官方未评定
CVE编号:CVE-2020-2097,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2020-2096,危险级别:中危,CVSS分值:官方未评定
CVE编号:CVE-2020-2091,危险级别:低危,CVSS分值:官方未评定
CVE编号:CVE-2020-2090,危险级别:低危,CVSS分值:官方未评定
CVE编号:CVE-2020-2093,危险级别:中危,CVSS分值:官方未评定
CVE编号:CVE-2020-2092,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2020-2098,危险级别:高危,CVSS分值:官方未评定
影响版本
Amazon EC2 Plugin < 1.48
Robot Framework Plugin < 2.0.1
CloudBees Plugin < 3.0.1
Redgate SQL Change Automation Plugin < 2.0.5
Gitlab Hook Plugin <= 1.4.2
Sounds Plugin <= 0.5
漏洞概述
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。
Jenkins官方发布了其6个插件的9个CVE相关安全公告,详情如下:
Amazon EC2 Plugin 中存在CSRF漏洞(CVE-2020-2090)和缺少权限检查漏洞(CVE-2020-2091)
Amazon EC2插件1.47和更早版本不会在执行表单验证的方法中执行权限检查。此外,这些表单验证方法不需要POST请求,从而导致CSRF漏洞。
Robot Framework Plugin 中存在XXE漏洞(CVE-2020-2092)
Robot Framework Plugin 2.0.0及更早版本没有配置XML解析器来防止XML外部实体(XXE)攻击。
CloudBees Plugin 的 Health Advisor 中存在CSRF漏洞(CVE-2020-2093)和缺少权限检查漏洞(CVE-2020-2094)
CloudBees Plugin 3.0 和更早版本中的 Health Advisor 在执行表单验证的方法中不执行权限检查。此外,这些表单验证方法不需要POST请求,从而导致CSRF漏洞。
Redgate SQL Change Automation Plugin 明文存储凭据(CVE-2020-2095)
Redgate SQL Change Automation Plugin 2.0.4及更早版本将未加密的NuGet API密钥存储在job config.xml文件中,作为其配置的一部分。
Gitlab Hook Plugin 存在反射型XSS(CVE-2020-2096)
Gitlab Hook Plugin 1.4.2 和更早版本没有转义 build_now 终结点中的项目名称。
Sounds Plugin 存在CSRF漏洞(CVE-2020-2098)和缺少权限检查允许操作系统命令执行(CVE-2020-2097)
Sounds Plugin 0.5 及更早版本不在执行表单验证的URL中执行权限检查。此外,这些表单验证URL不需要POST请求,从而导致CSRF漏洞。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://jenkins.io/security/advisory/2020-01-15/#descriptions。
缓解措施:为缓解存在漏洞尚无修复程序的插件,请不要对外开放Jenkins,做好Jenkins用户账号管理,若非必要,请禁用受影响的插件。
参考链接
https://jenkins.io/security/advisory/2020-01-15/#descriptions
京公网安备11010802024551号