聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这两个漏洞影响 Jenkins 服务器和Update Center,它们被Aqua公司统称为 ‘CorePlague"。Jenkins 2.319.2之前的版本均受影响。
Aqua公司在报告中指出,“利用这些漏洞可导致未认证攻击者在受害者Jenkins服务器上执行任意代码,有可能导致Jenkins服务器完全受陷。”这些漏洞是由Jenkins处理源自Update Center的可用插件方式不当造成的,因此可能导致威胁行动者上传具有恶意payload的插件,并触发跨站点脚本攻击。
报告还指出,“受害者在Jenkins服务器上打开‘可用插件管理器’时,就会触发XSS,从而导致攻击者在使用Script Console API的Jenkins Server上运行任意代码。”
由于XSS攻击也是存储型XSS攻击的一种,因此在无需安装插件甚至无需访问插件URL的情况下,也可触发该漏洞。令人担忧的是,这些漏洞也影响自托管的Jenkins服务器,甚至在无法从互联网中公开访问服务器的场景下也不例外,因为公开的Jenkins Update Center可“遭攻击者注入”。不过攻击的前提是,恶意插件与Jenkins服务器兼容且位于“可用插件管理器”页面的顶端。攻击者提到,可通过“上传描述中所内嵌的所有插件名称和流行关键字的插件”,或提交源自虚假实例的请求,人为地提高插件的下载次数来操纵。
研究人员在2023年1月24日将漏洞告知Jenkins 公司,后者已为 Update Center和服务器发布补丁。建议用户尽快将Jenkins服务器升级至最新可用版本。
Jenkins 披露插件中未修复的XSS、CSRF等18个0day漏洞
https://thehackernews.com/2023/03/jenkins-security-alert-new-security.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~