Jenkins插件发布多个漏洞风险提示

来源:scanv2020.05.09

一、漏洞概述

2020年5月6日,Jenkins官方发布安全公告修复插件中的9个漏洞(CVE-2020-2181、CVE-2020-2182、CVE-2020-2183、CVE-2020-2184、CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188、CVE-2020-2189),有5个插件受到影响。
CVE-2020-2189:远程代码执行漏洞,官方定级为高危。由于SCM Filter Jervis插件默认不配置YAML解析器,导致用户可以使用过滤器配置项目,也可以操作SCM已存储配置过的项目内容。
CVE-2020-2181、CVE-2020-2182:凭据泄露漏洞,存在于Credentials Binding 插件。
CVE-2020-2183:权限校验不当漏洞,存在于Copy Artifact 插件。
CVE-2020-2184:跨站请求伪造漏洞,存在于CVS 插件。
CVE-2020-2185、CVE-2020-2186、CVE-2020-2187、CVE-2020-2188:存在于Amazon EC2 插件。
Jenkins是一款基于Java开发的开源项目,用于持续集成和持续交付的自动化中间件,是开发过程中常用的产品。为保证Jenkins服务器的安全,建议相关用户将受影响的Jenkins插件升级至安全版本。

二、影响版本

Amazon EC2 Plugin <= 1.50.1

Copy Artifact Plugin <= 1.43.1

Credentials Binding Plugin <= 1.22

CVS Plugin <= 2.15

SCM Filter Jervis Plugin <= 0.2.1

三、复现过程

用户可通过查看当前使用的插件版本,对服务是否受此次漏洞影响进行排查。

点击“Manage Jenkins”进入管理模块,选择“Manage Plugins”管理插件。

点击“installed”即可对当前已安装的插件版本进行查看

四、影响范围

根据ZoomEye网络空间搜索引擎对关键字“Jenkins”进行搜索,共得到1,756,344 条历史记录,主要分布在美国、俄罗斯、中国等国家。

五、修复建议

升级至安全版本及其以上。

六、相关连接

  1. ZoomEye:https://www.zoomeye.org/searchResult?q=Jenkins
  2. Jenkins:https://www.jenkins.io/

热门文章

  • WebSphere远程代码执行漏洞(CVE-2020-4450)

    2020年6月5日,IBM官方发布通告修复了WebSphere Application Server(WAS)中的远程代码执行(CVE-2020-4450)漏洞,此漏洞由IIOP协议上的反序列化造成,未经身份认证的攻击者可以通过IIOP协议远程攻击WAS服务器,在目标服务端执行任意代码,获取系统权限,进而接管服务器。

  • SpaceX火箭发射成功,勒索团伙入侵其IT供应商内网并留下祝贺信息

    SpaceX和美国宇航局NASA首次载人火箭发射成功后不久,勒索团伙DopplePaymer即刻宣布入侵了NASA IT供应商之一DMI的内网。

  • 用友NC反序列化远程命令执行“0-Day”漏洞

    2020年6月4日,知道创宇监测到有国内安全组织披露用友NC存在反序列化远程命令执行“0-Day”漏洞。经知道创宇安全团队分析,漏洞真实存在,攻击者通过构造特定的HTTP请求,可以成功利用漏洞在目标服务器上执行任意命令,该漏洞风险极大,可能造成严重的信息泄露事件。

关注知道创宇云安全

获取安全动态