Jenkins 發布安全更新，修復多個漏洞

0x01 漏洞描述

Jenkins是一個開源軟件項目，是基于Java開發的一種持續集成工具，用于監控持續重復的工作，旨在提供一個開放易用的軟件平臺，使軟件的持續集成變成可能。

2021年11月16日，360漏洞云團隊監測到Jenkins發布安全公告，修復了6個存在于插件中的高危漏洞。漏洞詳情如下：

 CVE-2021-21699

影響產品：Active Choices Plugin

漏洞類型：XSS

漏洞描述：該漏洞是由于該插件不會轉義反應參數和動態參考參數的參數名稱， 這會導致一個可以被擁有Job/Configure權限的攻擊者利用的存儲型跨站腳本 (XSS) 漏洞。

 CVE-2021-21700

影響產品：Scriptler Plugin

漏洞類型：XSS

漏洞描述：該漏洞是由于該插件在要求確認刪除時不會轉義 UI 上的腳本名稱。這會導致一個可以被能夠創建 Scriptler 腳本的攻擊者利用的存儲型跨站腳本 (XSS) 漏洞。

 CVE-2021-21701

影響產品：Performance Plugin

漏洞類型：XXE

漏洞描述：該漏洞是由于該插件未配置其 XML 解析器來防止 XML 外部實體 (XXE) 攻擊。這允許攻擊者能夠控制工作區內容，讓 Jenkins 解析精心制作的 XML 報告文件，該文件使用外部實體從 Jenkins 控制器或服務器端請求偽造中提取機密 。

 CVE-2021-43576

影響產品：pom2config Plugin

漏洞類型：XXE

漏洞描述：該漏洞是由于該插件未配置其 XML 解析器以防止 XML 外部實體 (XXE) 攻擊。這允許具有Overall/Read和Item/Read權限的攻擊者讓 Jenkins 解析精心制作的 XML 文件，該文件使用外部實體從 Jenkins 控制器或服務器端請求偽造中提取機密 。 

 CVE-2021-43577

影響產品：OWASP Dependency-Check Plugin

漏洞類型：XXE

漏洞描述：該漏洞是由于該插件未配置其 XML 解析器以防止 XML 外部實體 (XXE) 攻擊。這允許攻擊者能夠控制工作區內容，讓 Jenkins 解析精心制作的 XML 文件，該文件使用外部實體從 Jenkins 控制器或服務器端請求偽造中提取機密。

 CVE-2021-43578

影響產品：Squash TM Publisher (Squash4Jenkins) Plugin

漏洞類型：任意文件寫入

漏洞描述：該漏洞是由于該插件實現了代理到控制器消息，該消息未實現對其輸入的任何驗證。這允許攻擊者能夠控制代理進程，用攻擊者控制的 JSON 字符串替換 Jenkins 控制器文件系統上的任意文件。

0x02 危害等級

高危

0x03 影響版本

Active Choices Plugin <=2.5.6 

Scriptler Plugin <=3.3 

Performance Plugin <=3.20 

pom2config Plugin <=1.2 

OWASP Dependency-Check Plugin <=5.1.1 

Squash TM Publisher (Squash4Jenkins) Plugin <=1.0.0

0x04 修復建議

CVE-2021-21699：Active Choices Plugin已升級到2.5.7，請盡快更新。

CVE-2021-21700：Scriptler Plugin已升級到3.4，請盡快更新。

其余CVE在截止本公告公布時，尚無修復方法。

與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。