漏洞分享 - Jenkins 存在多個漏洞
Jenkins 存在多個漏洞
一、摘要
Jenkins 存在多個漏洞,允許遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼、洩露敏感資料、跨網站指令碼及繞過保安限制。其中CVE-2024-23897已被廣泛利用,其允許駭客利用CLI的任意檔案讀取漏洞,進而導致遠端執行任意程式碼。
二、存在風險
Jenkins 存在多個漏洞,允許遠端攻擊者可利用這些漏洞,於目標系統觸發遠端執行任意程式碼、洩露敏感資料、跨網站指令碼及繞過保安限制。其中CVE-2024-23897已被廣泛利用,其允許駭客利用CLI的任意檔案讀取漏洞,進而導致遠端執行任意程式碼,其影響系統或版本如下:
- 受影響之系統:
- Jenkins weekly 2.441 及以前的版本
- Jenkins LTS 2.426.2 及以前的版本
- Git server Plugin 99.va_0826a_b_cdfa_d 及以前的版本
- GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3 及以前的版本
- Log Command Plugin 1.0.2 及以前的版本
- Matrix Project Plugin 822.v01b_8c85d16d2 及以前的版本
- Qualys Policy Compliance Scanning Connector Plugin 1.0.5 及以前的版本
- Red Hat Dependency Analytics Plugin 0.7.1 及以前的版本
- 嚴重漏洞識別碼說明:
- CVE-2023-6147:此漏洞未對權限進行確認,導致任何使用者於登入後可以進行配置或修改作業。
- CVE-2023-6148:此漏洞未對權限進行確認,導致任何使用者於登入後可以進行配置或修改作業。
- CVE-2024-23897:此漏洞允許未經授權之攻擊者透過CLI的任意檔案讀取漏洞,進行任意檔案讀取。
- CVE-2024-23898:此漏洞允許攻擊者在Jenkins Controller任意執行命令。
- CVE-2024-23899:此漏洞允許攻擊者在獲得Overall/Read權限後使用Jenkins Controller的默認字符編碼,讀取Jenkins控制器文件系統上任意文件的前兩行。
- CVE-2024-23900:此漏洞允許攻擊者在獲得Item/Configure權限後,新建或取代任何config.xml檔案。
- CVE-2024-23901:此漏洞存在於GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3和更早之前版本,其允許攻擊者配置和分享專案。
- CVE-2024-23902:此漏洞存在於GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3和更早之前版本,該漏洞存在根本原因是因為表單驗證尚未採用POST請求,進而導致存在跨站請求偽造 (CSRF) 漏洞,其允許攻擊者連線至惡意的URL。
- CVE-2024-23903:此漏洞存在於GitLab Branch Source Plugin 684.vea_fa_7c1e2fe3和更早之前版本,該漏洞存在根本原因是因為在檢查提供的 Webhook 令牌和預期的 Webhook 令牌是否相等時,未使用恆定時間(constant-time)的比較函數,進而導致允許攻擊者採用分析方式獲取合法的Webhook 令牌。
- CVE-2024-23904:此漏洞允許未經授權之攻擊者使用Jenkins Controller的默認字符編碼,讀取Jenkins控制器文件系統上任意文件的前兩行。
- CVE-2024-23905:此漏洞允許具有控制工作區、存檔工件等文件的能力的使用者進行跨站腳本(XSS)攻擊。
三、建議改善措施:
企業及使用者如有上述漏洞版本應盡速更新:
- 請將Jenkins weekly 更新至版本 2.442。
- 請將Jenkins LTS 更新至版本 2.426.3。
- 請將Git server Plugin 更新至版本 99.101.v720e86326c09。
- 請將GitLab Branch Source Plugin 更新至版本 688.v5fa_356ee8520。
- 請將Matrix Project Plugin 更新至版本 822.824.v14451b_c0fd42。
- 請將Qualys Policy Compliance Scanning Connector Plugin 更新至版本 1.0.6。
- 請將Red Hat Dependency Analytics Plugin 更新至版本 0.9.0。
情資報告連結: