- 您的需求已经提交,我们将在48小时内联系您
- 全国服务热线:400-1000-221
- 免费享受企业级云安全服务
Jenkins 多个插件安全漏洞风险通告(2020.9.2)
【漏洞描述】
Jenkins官方团队于2020年9月1日发布安全公告,通报了多款Jenkins 插件存在的安全漏洞。漏洞可能导致跨站脚本(XSS)攻击、跨站点请求伪造(CSRF)攻击,或密码泄露。
Jenkins提供了软件开发的持续集成服务。它运行在Servlet容器中(例如Apache Tomcat)。它支持软件配置管理(SCM)工具(包括AccuRev SCM、CVS、Subversion、Git、Perforce、Clearcase和RTC),可以执行基于Apache Ant和Apache Maven的项目,以及任意的Shell脚本和Windows批处理命令。
|
编号 |
漏洞名称 |
漏洞等级 |
受影响的版本 |
修复版本 |
|
CVE-2020-2238 |
Git Parameter Plugin的XSS漏洞 |
高危 |
<=0.9.12 |
0.9.13 |
|
CVE-2020-2239 |
Parameterized Remote Trigger Plugin 漏洞可能导致信息泄露 |
低 |
<=3.1.3 |
3.1.4 |
|
CVE-2020-2240 |
database Plugin的跨站请求伪造(CSRF)漏洞 |
高危 |
<=1.6 |
1.7 |
|
CVE-2020-2241/CVE-2020-2242 |
database Plugin 的CSRF漏洞和权限检查漏洞 |
中危 |
<=1.6 |
1.7 |
|
CVE-2020-2243 |
Cadence vManager Plugin中的XSS漏洞 |
高危 |
<=3.0.4 |
3.0.5 |
|
CVE-2020-2244 |
Build Failure Analyzer Plugin中的XSS漏洞 |
高危 |
<=1.27.0 |
1.27.1 |
|
CVE-2020-2245 |
Valgrind Plugin中的XXE漏洞(XML外部实体攻击) |
高危 |
<=0.28 |
尚未修复 |
|
CVE-2020-2246 |
Valgrind Plugin 中的存储XSS漏洞 |
高危 |
<=0.28 |
尚未修复 |
|
CVE-2020-2247 |
Klocwork Analysis Plugin中的XXE漏洞(XML外部实体攻击) |
高危 |
<=2020.2.1 |
尚未修复 |
|
CVE-2020-2248 |
JSGames Plugin中的XSS漏洞 |
高危 |
<=0.2 |
尚未修复 |
|
CVE-2020-2249 |
Team Foundation Server Plugin中以纯文本存储凭据漏洞 |
低危 |
<=5.157.1 |
尚未修复 |
|
CVE-2020-2250 |
SoapUI Pro Functional Testing Plugin中以纯文本存储凭据漏洞 |
中危 |
<=1.4 |
尚未修复
|
|
CVE-2020-2251 |
SoapUI Pro Functional Testing Plugin中以纯文本传输密码漏洞 |
中危 |
<=1.4影响2.236之前的Jenkins |
尚未修复 |
【漏洞修复】
建议用户密切关注Jenkins官方通告的进一步信息,截止目前,上述已公告的安全漏洞中,已修复6个组件漏洞,尚有7个未修复。
【参考资料】
https://www.jenkins.io/security/advisory/2020-09-01/#SECURITY-1023