聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Jenkins 是一款非常流行的平台(支持1700多个插件),世界各地的企业都在使用它构建、测试和部署软件。
这些0day 漏洞的CVSS 评分为低危到高危不等,受影响插件的安装次数超过2.2万次。这些未修复0day漏洞的类型包括XSS,存储型XSS,CSRF,权限检查缺失或不正确,密码、机密、API密钥和令牌存储以明文形式存储等。幸运的是,其中最严重的高危0day 要求用户交互才能被具有低权限的远程攻击者利用于低复杂程度的攻击活动中。
从Shodan 数据来看,目前超过14.4万台暴露在互联网中的 Jenkins 服务器如运行的是未修复插件,则可遭利用。
虽然Jenkins 团队修复了其中4款插件(GitLab、requests-plugin、TestNG Results、XebiaLabs XL Release),仍然还有大量未修复插件:
Build Notifications Plugin 1.5.0及之前版本
build-metrics Plugin 1.3及之前版本
Cisco Spark Plugin 1.1.1及之前版本
Deployment Dashboard Plugin 1.0.10及之前版本
Elasticsearch Query Plugin 1.2 及之前版本
eXtreme Feedback Panel Plugin 2.0.1及之前版本
Failed Job Deactivator Plugin 1.2.1及之前版本
GitLab Plugin 1.5.34及之前版本
HPE Network Virtualization Plugin 1.0及之前版本
Jigomerge Plugin 0.9 及之前版本
Matrix Reloaded Plugin 1.1.3及之前版本
OpsGenie Plugin 1.9及之前版本
Plot Plugin 2.1.10及之前版本
Project Inheritance Plugin 21.04.03及之前版本
Recipe Plugin 1.2及之前版本
Request Rename Or Delete Plugin 1.1.0及之前版本
requests-plugin Plugin 2.2.16及之前版本
Rich Text Publisher Plugin 1.4及之前版本
RocketChat Notifier Plugin 1.5.2及之前版本
RQM Plugin 2.8及之前版本
Skype notifier Plugin 1.1.0及之前版本
TestNG Results Plugin 554.va4a552116332及之前版本
Validating Email Parameter Plugin 1.10及之前版本
XebiaLabs XL Release Plugin 22.0.0及之前版本
XPath Configuration Viewer Plugin 1.1.1及之前版本
Jenkins 安全团队指出,“截止到本安全报告发布之时,目前尚不存在修复方案。”虽然这些漏洞都不是严重漏洞可导致攻击者在易受攻击服务器上远程执行代码或命令以接管服务器,但可用于针对企业网络的攻击中。
此前,未修复的Jenkins 服务器曾被攻陷,用于挖掘门罗币。然而,潜在攻击者很可能在侦察攻击中利用这些0day,获得对目标企业基础设施的更多信息。
https://www.bleepingcomputer.com/news/security/jenkins-discloses-dozens-of-zero-day-bugs-in-multiple-plugins/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~