Jenkins 披露多个组件中的29个未修复0day
编译:代码卫士
Jenkins 是一款非常流行的平台(支持1700多个插件),世界各地的企业都在使用它构建、测试和部署软件。
这些0day 漏洞的CVSS 评分为低危到高危不等,受影响插件的安装次数超过2.2万次。这些未修复0day漏洞的类型包括XSS,存储型XSS,CSRF,权限检查缺失或不正确,密码、机密、API密钥和令牌存储以明文形式存储等。幸运的是,其中最严重的高危0day 要求用户交互才能被具有低权限的远程攻击者利用于低复杂程度的攻击活动中。
从Shodan 数据来看,目前超过14.4万台暴露在互联网中的 Jenkins 服务器如运行的是未修复插件,则可遭利用。
虽然Jenkins 团队修复了其中4款插件(GitLab、requests-plugin、TestNG Results、XebiaLabs XL Release),仍然还有大量未修复插件:
Build Notifications Plugin 1.5.0及之前版本
build-metrics Plugin 1.3及之前版本
Cisco Spark Plugin 1.1.1及之前版本
Deployment Dashboard Plugin 1.0.10及之前版本
Elasticsearch Query Plugin 1.2 及之前版本
eXtreme Feedback Panel Plugin 2.0.1及之前版本
Failed Job Deactivator Plugin 1.2.1及之前版本
GitLab Plugin 1.5.34及之前版本
HPE Network Virtualization Plugin 1.0及之前版本
Jigomerge Plugin 0.9 及之前版本
Matrix Reloaded Plugin 1.1.3及之前版本
OpsGenie Plugin 1.9及之前版本
Plot Plugin 2.1.10及之前版本
Project Inheritance Plugin 21.04.03及之前版本
Recipe Plugin 1.2及之前版本
Request Rename Or Delete Plugin 1.1.0及之前版本
requests-plugin Plugin 2.2.16及之前版本
Rich Text Publisher Plugin 1.4及之前版本
RocketChat Notifier Plugin 1.5.2及之前版本
RQM Plugin 2.8及之前版本
Skype notifier Plugin 1.1.0及之前版本
TestNG Results Plugin 554.va4a552116332及之前版本
Validating Email Parameter Plugin 1.10及之前版本
XebiaLabs XL Release Plugin 22.0.0及之前版本
XPath Configuration Viewer Plugin 1.1.1及之前版本
Jenkins 安全团队指出,“截止到本安全报告发布之时,目前尚不存在修复方案。”虽然这些漏洞都不是严重漏洞可导致攻击者在易受攻击服务器上远程执行代码或命令以接管服务器,但可用于针对企业网络的攻击中。
此前,未修复的Jenkins 服务器曾被攻陷,用于挖掘门罗币。然而,潜在攻击者很可能在侦察攻击中利用这些0day,获得对目标企业基础设施的更多信息。
开源自动化服务器软件 Jenkins 被曝严重漏洞,可泄露敏感信息
开源服务器 Jenkins 曝漏洞,可用于发动 DDoS 攻击
开源的 Jenkins 服务器配置不当或导致著名机构敏感数据遭泄露
Jenkins开源自动化服务器修复RCE漏洞
https://www.bleepingcomputer.com/news/security/jenkins-discloses-dozens-of-zero-day-bugs-in-multiple-plugins/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。