Jenkins安全警报称新的安全漏洞可能允许代码执行攻击

詹金斯安全警报

Jenkins披露了开源自动化服务器中一对严重的安全漏洞,可能导致恶意代码在目标系统上执行。

这些缺陷被追踪为CVE-2023-27898和CVE-2023-27905,影响 Jenkins 服务器和更新中心,并被云安全公司Aqua统称为CorePlague。版本号2.319.2之前的所有Jenkins版本都容易受到攻击和利用。

“利用这些漏洞可能允许未经身份验证的攻击者在受害者的Jenkins服务器上执行任意代码,可能导致Jenkins服务器完全受损,”该公司在与黑客新闻分享的一份报告中表示。

缺点是Jenkins如何处理更新中心提供的插件的结果,从而可能使威胁行为者能够上传带有恶意负载的插件并触发跨站点脚本(XSS)攻击。

“一旦受害者在他们的Jenkins服务器上打开‘可用插件管理器’,XSS就会被触发,允许攻击者利用脚本控制台API在Jenkins服务器上运行任意代码,”Aqua 说。

由于它也是一种存储型 XSS,其中JavaScript代码被注入服务器,因此无需安装插件甚至无需首先访问插件的URL即可激活漏洞。

令人不安的是,这些缺陷还可能影响自托管的Jenkins服务器,甚至在服务器无法通过互联网公开访问的情况下也会被利用,因为公共Jenkins更新中心可能会“被攻击者注入”。

然而,攻击的前提是流氓插件与Jenkins服务器兼容,并且出现在“可用插件管理器”页面的主要提要顶部。

Aqua说,这可以通过“上传一个包含所有插件名称和描述中嵌入的流行关键字的插件”来操纵,或者通过从虚假实例提交请求来人为地增加插件的下载次数。

在2023年1月24日负责任地披露之后,Jenkins 已经为更新中心和服务器发布了补丁。建议用户将他们的Jenkins服务器更新到最新可用版本以降低潜在风险。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4828.html

标签