Jenkins公告多款插件存在高危漏洞（2020.8.12）

Posted 2021-04-07 腾讯安全威胁情报中心

Jenkins官方发布公告，修复主框架及多款插件存在的安全漏洞。漏洞可能导致跨站脚本（XSS）攻击、跨站点请求伪造（CSRF）攻击，或密码泄露。腾讯安全专家建议用户参考通告内容，将存在风险的插件升级到安全版本。

Jenkins是一款由Java编写的开源的持续集成工具。Jenkins提供了软件开发的持续集成服务。

 

Jenkins公告存在漏洞的组件（主框架、插件）包括：

组件名称	风险等级	存在漏洞的版本	修复版本
Jenkins weekly	高	<2.251	2.252
Jenkins LTS	高	<2.235.3	2.235.4
	低	<2.73	2.74
Flaky Test Handler Plugin	中	<1.0.4	待修复
Pipeline Maven Integration Plugin	高	<3.8.2	3.8.3
Yet Another Build Visualizer Plugin	高	<1.11	1.12

 

以下为漏洞详情

 

1.CVE-2020-2229|Stored XSS vulnerability in help icons

 

漏洞等级：高

 

影响版本：

Jenkins2.251和更早的版本，LTS 2.235.3和更早版本

 

漏洞导致跨站脚本（XSS）攻击。

 

2.CVE-2020-2230|Stored XSS vulnerability in project naming strategy

 

漏洞等级：高

 

影响版本：

Jenkins2.251和更早版本，LTS 2.235.3和更早版本

 

漏洞导致跨站脚本（XSS）攻击。

 

3.CVE-2020-2231|Stored XSS vulnerability in 'Trigger builds remotely'

 

漏洞等级：高

 

影响版本：

Jenkins 2.251及更早版本，LTS 2.235.3及更早版本

 

漏洞导致跨站脚本（XSS）攻击。

 

 

漏洞等级：低

 

影响版本：

 

 

当此密码以加密方式存储在磁盘上时，它会通过电子邮件扩展插件2.72和2.73作为配置表单的一部分以纯文本形式传输和显示。这将导致密码泄露。

 

5.CVE-2020-2233|Missing permission check in Pipeline Maven IntegrationPlugin allows enumerating credentials IDs

 

PipelineMaven集成插件缺少权限检查，可以枚举凭据ID

 

漏洞等级：中

 

影响版本：

PipelineMaven集成插件3.8.2和更早版本

 

6.CVE-2020-2234 (permission check), CVE-2020-2235 (CSRF)

CSRF vulnerability and missing permission check in Pipeline MavenIntegration Plugin allow capturing credentials

 

PipelineMaven集成插件中的CSRF漏洞和缺少权限检查允许捕获凭据

 

漏洞等级：高

 

影响版本：

PipelineMaven集成插件3.8.2和更早版本

 

表单验证的方法中不执行权限检查，攻击者可能捕获存储在Jenkins中的凭据。

 

此外，此表单验证方法不需要POST请求，从而导致跨站点请求伪造（CSRF）漏洞。

 

7.CVE-2020-2236|Stored XSS vulnerability in Yet Another BuildVisualizer Plugin

 

BuildVisualizer插件中的XSS漏洞

 

漏洞等级：高

 

影响版本：

BuildVisualizer插件1.11和更早版本

 

8.CVE-2020-2237|CSRF vulnerability in Flaky Test Handler Plugin

 

Flaky测试处理程序插件中的CSRF漏洞

 

漏洞等级：中

 

影响版本：

Flaky TestHandler Plugin 1.0.4和更早版本

 

不需要“ Deflake this build”功能的POST请求，从而导致跨站点请求伪造（CSRF）漏洞。

 

参考链接：

https://www.jenkins.io/security/advisory/2020-08-12/#SECURITY-1957