According to their self-reported version numbers, the version of Jenkins plugins running on the remote web server are affected by multiple vulnerabilities:

  - Medium Permissions in Jenkins can be enabled and disabled. Some permissions are disabled by default, e.g.,     Overall/Manage or Item/Extended Read. Disabled permissions cannot be granted directly, only through     greater permissions that imply them (e.g., Overall/Administer or Item/Configure). Role-based Authorization     Strategy Plugin 587.v2872c41fa_e51 and earlier grants permissions even after they've been disabled. This     allows attackers to have greater access than they're entitled to after the following operations took     place: A permission is granted to attackers directly or through groups. The permission is disabled, e.g.,     through the script console. Role-based Authorization Strategy Plugin 587.588.v850a_20a_30162 does not     grant disabled permissions. (CVE-2023-28668)

  - High JaCoCo Plugin 3.3.2 and earlier does not escape class and method names shown on the UI. This results     in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to control input files     for the 'Record JaCoCo coverage report' post-build action. JaCoCo Plugin 3.3.2.1 escapes class and method     names shown on the UI. (CVE-2023-28669)

  - High Pipeline Aggregator View Plugin 1.13 and earlier does not escape a variable representing the current     view's URL in inline JavaScript. This results in a stored cross-site scripting (XSS) vulnerability     exploitable by authenticated attackers with Overall/Read permission. Pipeline Aggregator View Plugin 1.14     obtains the current URL in a way not susceptible to XSS. (CVE-2023-28670)

  - Medium OctoPerf Load Testing Plugin Plugin 4.5.0 and earlier does not require POST requests for a     connection test HTTP endpoint, resulting in a cross-site request forgery (CSRF) vulnerability. This     vulnerability allows attackers to connect to an attacker-specified URL using attacker-specified     credentials IDs obtained through another method, capturing credentials stored in Jenkins. OctoPerf Load     Testing Plugin Plugin 4.5.1 requires POST requests for the affected connection test HTTP endpoint.
    (CVE-2023-28671)

  - High OctoPerf Load Testing Plugin Plugin 4.5.1 and earlier does not perform a permission check in a     connection test HTTP endpoint. This allows attackers with Overall/Read permission to connect to an     attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing     credentials stored in Jenkins. OctoPerf Load Testing Plugin Plugin 4.5.2 properly performs a permission     check when accessing the affected connection test HTTP endpoint. (CVE-2023-28672)

  - Medium OctoPerf Load Testing Plugin Plugin 4.5.2 and earlier does not perform a permission check in an     HTTP endpoint. This allows attackers with Overall/Read permission to enumerate credentials IDs of     credentials stored in Jenkins. Those can be used as part of an attack to capture the credentials using     another vulnerability. An enumeration of credentials IDs in OctoPerf Load Testing Plugin Plugin 4.5.3     requires the appropriate permissions. (CVE-2023-28673)

  - Medium OctoPerf Load Testing Plugin Plugin 4.5.2 and earlier does not perform permission checks in several     HTTP endpoints. This allows attackers with Overall/Read permission to connect to a previously configured     Octoperf server using attacker-specified credentials. Additionally, these endpoints do not require POST     requests, resulting in a cross-site request forgery (CSRF) vulnerability. OctoPerf Load Testing Plugin     Plugin 4.5.3 requires POST requests and the appropriate permissions for the affected HTTP endpoints.
    (CVE-2023-28674, CVE-2023-28675)

  - High Convert To Pipeline Plugin 1.0 and earlier does not require POST requests for the HTTP endpoint     converting a Freestyle project to Pipeline, resulting in a cross-site request forgery (CSRF)     vulnerability. This vulnerability allows attackers to create a Pipeline based on a Freestyle project.
    Combined with SECURITY-2966, this can result in the execution of unsandboxed Pipeline scripts. As of     publication of this advisory, there is no fix. Learn why we announce this. (CVE-2023-28676)

  - High Convert To Pipeline Plugin 1.0 and earlier uses basic string concatenation to convert Freestyle     projects' Build Environment, Build Steps, and Post-build Actions to the equivalent Pipeline step     invocations. This allows attackers able to configure Freestyle projects to prepare a crafted configuration     that injects Pipeline script code into the (unsandboxed) Pipeline resulting from a conversion by Convert     To Pipeline Plugin. If an administrator converts the Freestyle project to a Pipeline, the script will be     pre-approved. As of publication of this advisory, there is no fix. Learn why we announce this.
    (CVE-2023-28677)

  - High Cppcheck Plugin 1.26 and earlier does not escape file names from Cppcheck report files before showing     them on the Jenkins UI. This results in a stored cross-site scripting (XSS) vulnerability exploitable by     attackers able to control report file contents. As of publication of this advisory, there is no fix. Learn     why we announce this. (CVE-2023-28678)

  - High Mashup Portlets Plugin 1.1.2 and earlier provides the Generic JS Portlet feature that lets a user     populate a portlet using a custom JavaScript expression. This results in a stored cross-site scripting     (XSS) vulnerability exploitable by authenticated attackers with Overall/Read permission. As of publication     of this advisory, there is no fix. Learn why we announce this. (CVE-2023-28679)

  - High Crap4J Plugin 0.9 and earlier does not configure its XML parser to prevent XML external entity (XXE)     attacks. This allows attackers able to control Crap Report file contents to have Jenkins parse a crafted     XML document that uses external entities for extraction of secrets from the Jenkins controller or server-     side request forgery. As of publication of this advisory, there is no fix. Learn why we announce this.
    (CVE-2023-28680)

  - High Visual Studio Code Metrics Plugin 1.7 and earlier does not configure its XML parser to prevent XML     external entity (XXE) attacks. This allows attackers able to control VS Code Metrics File contents to have     Jenkins parse a crafted XML document that uses external entities for extraction of secrets from the     Jenkins controller or server-side request forgery. As of publication of this advisory, there is no fix.
    Learn why we announce this. (CVE-2023-28681)

  - High Performance Publisher Plugin 8.09 and earlier does not configure its XML parser to prevent XML     external entity (XXE) attacks. This allows attackers able to control PerfPublisher report files to have     Jenkins parse a crafted XML document that uses external entities for extraction of secrets from the     Jenkins controller or server-side request forgery. As of publication of this advisory, there is no fix.
    Learn why we announce this. (CVE-2023-28682)

  - High Phabricator Differential Plugin 2.1.5 and earlier does not configure its XML parser to prevent XML     external entity (XXE) attacks. This allows attackers able to control coverage report file contents for the     'Post to Phabricator' post-build action to have Jenkins parse a crafted XML document that uses external     entities for extraction of secrets from the Jenkins controller or server-side request forgery. As of     publication of this advisory, there is no fix. Learn why we announce this. (CVE-2023-28683)

  - High remote-jobs-view-plugin Plugin 0.0.3 and earlier does not configure its XML parser to prevent XML     external entity (XXE) attacks. This allows authenticated attackers with Overall/Read permission to have     Jenkins parse a crafted XML document that uses external entities for extraction of secrets from the     Jenkins controller or server-side request forgery. As of publication of this advisory, there is no fix.
    Learn why we announce this. (CVE-2023-28684)

  - High AbsInt a Plugin 1.1.0 and earlier does not configure its XML parser to prevent XML external entity     (XXE) attacks. This allows attackers able to control 'Project File (APX)' contents to have Jenkins parse a     crafted XML document that uses external entities for extraction of secrets from the Jenkins controller or     server-side request forgery. As of publication of this advisory, there is no fix. Learn why we announce     this. (CVE-2023-28685)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The version of Jenkins Enterprise or Jenkins Operations Center running on the remote web server is 2.346.x prior to 2.346.40.0.12. It is, therefore, affected by multiple vulnerabilities including the following:

  - Medium Permissions in Jenkins can be enabled and disabled. Some permissions are disabled by default, e.g.,     Overall/Manage or Item/Extended Read. Disabled permissions cannot be granted directly, only through     greater permissions that imply them (e.g., Overall/Administer or Item/Configure). Role-based Authorization     Strategy Plugin 587.v2872c41fa_e51 and earlier grants permissions even after they've been disabled. This     allows attackers to have greater access than they're entitled to after the following operations took     place: A permission is granted to attackers directly or through groups. The permission is disabled, e.g.,     through the script console. Role-based Authorization Strategy Plugin 587.588.v850a_20a_30162 does not     grant disabled permissions. (CVE-2023-28668)

  - High JaCoCo Plugin 3.3.2 and earlier does not escape class and method names shown on the UI. This results     in a stored cross-site scripting (XSS) vulnerability exploitable by attackers able to control input files     for the 'Record JaCoCo coverage report' post-build action. JaCoCo Plugin 3.3.2.1 escapes class and method     names shown on the UI. (CVE-2023-28669)

  - High Pipeline Aggregator View Plugin 1.13 and earlier does not escape a variable representing the current     view's URL in inline JavaScript. This results in a stored cross-site scripting (XSS) vulnerability     exploitable by authenticated attackers with Overall/Read permission. Pipeline Aggregator View Plugin 1.14     obtains the current URL in a way not susceptible to XSS. (CVE-2023-28670)

  - Medium OctoPerf Load Testing Plugin Plugin 4.5.0 and earlier does not require POST requests for a     connection test HTTP endpoint, resulting in a cross-site request forgery (CSRF) vulnerability. This     vulnerability allows attackers to connect to an attacker-specified URL using attacker-specified     credentials IDs obtained through another method, capturing credentials stored in Jenkins. OctoPerf Load     Testing Plugin Plugin 4.5.1 requires POST requests for the affected connection test HTTP endpoint.
    (CVE-2023-28671)

  - High OctoPerf Load Testing Plugin Plugin 4.5.1 and earlier does not perform a permission check in a     connection test HTTP endpoint. This allows attackers with Overall/Read permission to connect to an     attacker-specified URL using attacker-specified credentials IDs obtained through another method, capturing     credentials stored in Jenkins. OctoPerf Load Testing Plugin Plugin 4.5.2 properly performs a permission     check when accessing the affected connection test HTTP endpoint. (CVE-2023-28672)

  - Medium OctoPerf Load Testing Plugin Plugin 4.5.2 and earlier does not perform a permission check in an     HTTP endpoint. This allows attackers with Overall/Read permission to enumerate credentials IDs of     credentials stored in Jenkins. Those can be used as part of an attack to capture the credentials using     another vulnerability. An enumeration of credentials IDs in OctoPerf Load Testing Plugin Plugin 4.5.3     requires the appropriate permissions. (CVE-2023-28673)

  - Medium OctoPerf Load Testing Plugin Plugin 4.5.2 and earlier does not perform permission checks in several     HTTP endpoints. This allows attackers with Overall/Read permission to connect to a previously configured     Octoperf server using attacker-specified credentials. Additionally, these endpoints do not require POST     requests, resulting in a cross-site request forgery (CSRF) vulnerability. OctoPerf Load Testing Plugin     Plugin 4.5.3 requires POST requests and the appropriate permissions for the affected HTTP endpoints.
    (CVE-2023-28674, CVE-2023-28675)

  - High Convert To Pipeline Plugin 1.0 and earlier does not require POST requests for the HTTP endpoint     converting a Freestyle project to Pipeline, resulting in a cross-site request forgery (CSRF)     vulnerability. This vulnerability allows attackers to create a Pipeline based on a Freestyle project.
    Combined with SECURITY-2966, this can result in the execution of unsandboxed Pipeline scripts. As of     publication of this advisory, there is no fix. Learn why we announce this. (CVE-2023-28676)

  - High Convert To Pipeline Plugin 1.0 and earlier uses basic string concatenation to convert Freestyle     projects' Build Environment, Build Steps, and Post-build Actions to the equivalent Pipeline step     invocations. This allows attackers able to configure Freestyle projects to prepare a crafted configuration     that injects Pipeline script code into the (unsandboxed) Pipeline resulting from a conversion by Convert     To Pipeline Plugin. If an administrator converts the Freestyle project to a Pipeline, the script will be     pre-approved. As of publication of this advisory, there is no fix. Learn why we announce this.
    (CVE-2023-28677)

  - High Cppcheck Plugin 1.26 and earlier does not escape file names from Cppcheck report files before showing     them on the Jenkins UI. This results in a stored cross-site scripting (XSS) vulnerability exploitable by     attackers able to control report file contents. As of publication of this advisory, there is no fix. Learn     why we announce this. (CVE-2023-28678)

  - High Mashup Portlets Plugin 1.1.2 and earlier provides the Generic JS Portlet feature that lets a user     populate a portlet using a custom JavaScript expression. This results in a stored cross-site scripting     (XSS) vulnerability exploitable by authenticated attackers with Overall/Read permission. As of publication     of this advisory, there is no fix. Learn why we announce this. (CVE-2023-28679)

  - High Crap4J Plugin 0.9 and earlier does not configure its XML parser to prevent XML external entity (XXE)     attacks. This allows attackers able to control Crap Report file contents to have Jenkins parse a crafted     XML document that uses external entities for extraction of secrets from the Jenkins controller or server-     side request forgery. As of publication of this advisory, there is no fix. Learn why we announce this.
    (CVE-2023-28680)

  - High Visual Studio Code Metrics Plugin 1.7 and earlier does not configure its XML parser to prevent XML     external entity (XXE) attacks. This allows attackers able to control VS Code Metrics File contents to have     Jenkins parse a crafted XML document that uses external entities for extraction of secrets from the     Jenkins controller or server-side request forgery. As of publication of this advisory, there is no fix.
    Learn why we announce this. (CVE-2023-28681)

  - High Performance Publisher Plugin 8.09 and earlier does not configure its XML parser to prevent XML     external entity (XXE) attacks. This allows attackers able to control PerfPublisher report files to have     Jenkins parse a crafted XML document that uses external entities for extraction of secrets from the     Jenkins controller or server-side request forgery. As of publication of this advisory, there is no fix.
    Learn why we announce this. (CVE-2023-28682)

  - High Phabricator Differential Plugin 2.1.5 and earlier does not configure its XML parser to prevent XML     external entity (XXE) attacks. This allows attackers able to control coverage report file contents for the     'Post to Phabricator' post-build action to have Jenkins parse a crafted XML document that uses external     entities for extraction of secrets from the Jenkins controller or server-side request forgery. As of     publication of this advisory, there is no fix. Learn why we announce this. (CVE-2023-28683)

  - High remote-jobs-view-plugin Plugin 0.0.3 and earlier does not configure its XML parser to prevent XML     external entity (XXE) attacks. This allows authenticated attackers with Overall/Read permission to have     Jenkins parse a crafted XML document that uses external entities for extraction of secrets from the     Jenkins controller or server-side request forgery. As of publication of this advisory, there is no fix.
    Learn why we announce this. (CVE-2023-28684)

  - High AbsInt a Plugin 1.1.0 and earlier does not configure its XML parser to prevent XML external entity     (XXE) attacks. This allows attackers able to control 'Project File (APX)' contents to have Jenkins parse a     crafted XML document that uses external entities for extraction of secrets from the Jenkins controller or     server-side request forgery. As of publication of this advisory, there is no fix. Learn why we announce     this. (CVE-2023-28685)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

遠端 Web 伺服器上執行的 Jenkins Enterprise 或 Jenkins Operations Center 版本為低於 2.346.40.0.12 的 2.346.x 版。因此，該主機會受到多個弱點影響，包括：

  - Jenkins 中的普通權限可以啟用和停用。某些權限預設為停用，例如，Overall/Manage 或 Item/Extended Read。使用者無法直接授予停用的權限，只能透過隱含的更高權限授予 (例如，Overall/Administer 或 Item/Configure)。角色型授權策略 Plugin 587.v2872c41fa_e51 及更早版本可以授予已停用的權限。這可讓攻擊者在下列作業發生後，擁有更大的存取權：直接或透過群組將權限授予攻擊者。例如，透過指令碼主控台停用此權限。角色型授權策略 Plugin 587.588.v850a_20a_30162 不會授予已停用的權限。(CVE-2023-28668)

  - 高 - JaCoCo Plugin 3.3.2 及更早版本不會逸出 UI 上顯示的類別和方法名稱。這會導致儲存型跨網站指令碼 (XSS) 弱點，能夠控制「Record JaCoCo coverage report」構建後動作的輸入檔案的攻擊者可利用此弱點。JaCoCo Plugin 3.3.2.1 會逸出 UI 上顯示的類別和方法名稱。(CVE-2023-28669)

  - 高 - Pipeline Aggregator View Plugin 1.13 及更早版本不會在內嵌 JavaScript 中逸出表示目前檢視 URL 的變數。這會導致儲存型跨網站指令碼 (XSS) 弱點，經驗證的具有 Overall/Read 權限的攻擊者可利用此弱點。Pipeline Aggregator View Plugin 1.14 能夠以不易遭受 XSS 攻擊的方式取得目前的 URL。(CVE-2023-28670)

  - 中等 - OctoPerf Load Testing Plugin 4.5.0 及更早版本不需要向連線測試 HTTP 端點提出 POST 要求，這會導致跨網站要求偽造 (CSRF) 弱點。攻擊者可藉此使用透過另一種方法取得的攻擊者指定憑證 ID，連線至攻擊者指定的 URL，進而擷取儲存在 Jenkins 中的憑證。OctoPerf Load Testing Plugin 4.5.1 需要向受影響的連線測試 HTTP 端點提出 POST 要求。
    (CVE-2023-28671)

  - 高 - OctoPerf Load Testing Plugin 4.5.1 及更早版本不會在連線測試 HTTP 端點中執行權限檢查。這會讓具有 Overall/Read 權限的攻擊者使用透過另一種方法取得的攻擊者指定憑證 ID，連線至攻擊者指定的 URL，進而擷取儲存在 Jenkins 中的憑證。OctoPerf Load Testing Plugin 4.5.2 在存取受影響的連線測試 HTTP 端點時，會正確執行權限檢查。(CVE-2023-28672)

  - 中等 - OctoPerf Load Testing Plugin 4.5.2 及更早版本不會在 HTTP 端點中執行權限檢查。這會讓具有 Overall/Read 權限的攻擊者列舉 Jenkins 中已儲存憑證的憑證 ID。這些弱點可作為攻擊的一部分，利用另一個弱點來擷取憑證。在 OctoPerf Load Testing Plugin 4.5.3 中，列舉憑證 ID 需要有適當的權限。(CVE-2023-28673)

  - 中等 - OctoPerf Load Testing Plugin 4.5.2 及更早版本不會在數個 HTTP 端點中執行權限檢查。具有 Overall/Read 權限的攻擊者可藉此使用攻擊者指定的憑證連線至之前設定的 Octoperf 伺服器。此外，這些端點不需要 POST 要求，這可導致跨網站要求偽造 (CSRF) 弱點。OctoPerf Load Testing Plugin 4.5.3 需要受影響的 HTTP 端點的 POST 要求和適當權限。
    (CVE-2023-28674、CVE-2023-28675)

  - 高 - Convert To Pipeline Plugin 1.0 及更早版本在將 Freestyle 專案轉換爲管線時，不需要向 HTTP 端點提出 POST 要求，這會導致跨網站要求偽造 (CSRF) 弱點。此弱點允許攻擊者根據 Freestyle 專案建立管線。
    結合 SECURITY-2966，這可導致攻擊者執行未經沙箱處理的管線指令碼。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28676)

  - 高 - Convert To Pipeline Plugin 1.0 及更早版本使用基本字串串連將 Freestyle 專案的構建環境、構建步驟和構建後動作轉換為等同的管線步驟叫用。這讓攻擊者能夠設定 Freestyle 專案，以準備特製的組態，將 Pipeline 指令碼插入由 Convert To Pipeline Plugin 轉換產生的 (未經沙箱處理的) 管線。如果系統管理員將 Freestyle 專案轉換為管線，則會預先核准此指令碼。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。
    (CVE-2023-28677)

  - 高 - Cppcheck Plugin 1.26 及更早版本未從 Cppcheck 報告檔案逸出檔案名稱便將其顯示在 Jenkins UI 上。這會導致儲存型跨網站指令碼 (XSS) 弱點，能夠控制報告檔案內容的攻擊者可利用此弱點。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28678)

  - 高 - Mashup Portlets Plugin 1.1.2 及更早版本提供 Generic JS Portlet 功能，讓使用者可以使用自訂 JavaScript 運算式填入 portlet。這會導致儲存型跨網站指令碼 (XSS) 弱點，經驗證的具有 Overall/Read 權限的攻擊者可利用此弱點。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28679)

  - 高 - Crap4J Plugin 0.9 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制 Crap 報告檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。
    (CVE-2023-28680)

  - 高 - Visual Studio Code Metrics Plugin 1.7 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制 VS Code Metrics 檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。
    瞭解我們為何宣佈此問題。(CVE-2023-28681)

  - 高 - Performance Publisher Plugin 8.09 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制 PerfPublisher 報告檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。
    瞭解我們為何宣佈此問題。(CVE-2023-28682)

  - 高 - Phabricator Differential Plugin 2.1.5 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制  'Post to Phabricator' 建構後動作覆蓋範圍報告檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28683)

  - 高 - remote-jobs-view-plugin Plugin 0.0.3 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。具有 Overall/Read 權限的經驗證的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。
    瞭解我們為何宣佈此問題。(CVE-2023-28684)

  - 高 - AbsInt a Plugin 1.1.0 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制 'Project File (APX)' 內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28685)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程 Web 服务器上运行的 Jenkins Enterprise 或 Jenkins Operations Center 版本为低于 2.346.40.0.12 的 2.346.x。因此，该应用程序受到多个漏洞的影响，其中包括：

  - Jenkins 中的中危权限可启用和禁用。某些权限默认为禁用状态，如 Overall/Manage 或 Item/Extended Read。被禁用的权限无法直接授予，只能通过包含这些权限的更高权限来授予（例如，Overall/Administer 或 Item/Configure）。在 587.v2872c41fa_e51 及更低版本的 Role-based Authorization Strategy Plugin 中 ，即使这些权限已被禁用，也仍然可以授予。因此，在执行以下操作后，攻击者拥有的访问权限会比他们有权获得的访问权限要多：直接或通过群组向攻击者授予权限。权限被禁用，例如借助脚本控制台。Role-based Authorization Strateg Plugin 587.588.v850a_20a_30162 不会授予被禁用的权限。(CVE-2023-28668)

  - High JaCoCo Plugin 3.3.2 及更早版本不会转义 UI 上显示的类和方法名称。这会导致攻击者可以利用存储型跨站脚本 (XSS) 漏洞，从而控制输入文件的“Record JaCoCo 覆盖报告”构建后操作。- JaCoCo Plugin 3.3.2.1 及更早版本会转义 UI 上显示的类和方法名称。(CVE-2023-28669)

  - High Pipeline Aggregator View Plugin 1.13 及更早版本不会转义内联 JavaScript 中代表当前视图 URL 的变量。这会导致经过身份验证且拥有全局/读取权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。Pipeline Aggregator View Plugin 1.14 以不易受 XSS 影响的方式获取当前 URL。(CVE-2023-28670)

  - Medium OctoPerf Load Testing Plugin 4.5.0 及更早版本不需要用户向连接测试 HTTP 端点发送 POST 请求，这会导致跨站请求伪造 (CSRF) 漏洞。 此漏洞会导致攻击者可使用通过其他方法获取的攻击者指定凭据 ID，连接到攻击者指定的 URL，从而捕获 Jenkins 中存储的凭据。OctoPerf Load Testing Plugin 4.5.1 需要用户向受影响的连接测试 HTTP 端点发送 POST 请求。
    (CVE-2023-28671)

  - High OctoPerf Load Testing Plugin 4.5.1 及更早版本未对连接测试 HTTP 端点执行权限检查。- 这将导致拥有全局/读取权限的攻击者可使用通过其他方法获取的攻击者指定凭据 ID，连接到攻击者指定的 URL，从而捕获 Jenkins 中存储的凭据。OctoPerf Load Testing Plugin 4.5.2 在访问受影响的连接测试 HTTP 端点时会正确执行权限检查。(CVE-2023-28672)

  - Medium OctoPerf Load Testing Plugin 4.5.2 及更早版本未对 HTTP 端点执行权限检查。这将允许具有全局/读取权限的攻击者枚举存储在 Jenkins 中凭据的凭据 ID。这些可用作攻击的一部分，以使用其他漏洞捕获凭据。在 OctoPerf Load Testing Plugin 4.5.3 中，枚举凭据 ID 需要提供相应的权限。(CVE-2023-28673)

  - Medium OctoPerf Load Testing Plugin 4.5.2 及更早版本未对多个 HTTP 端点执行权限检查。这将允许拥有全局/读取权限的攻击者使用攻击者特定的凭据连接到之前配置的 Octoperf 服务器。此外，由于攻击者不需要向这些端点发送 POST 请求，从而导致跨站请求伪造 (CSRF) 漏洞。OctoPerf Load Testing Plugin 4.5.3 需要用户向受影响的 HTTP 端点发送 POST 请求并提供相应的权限。
    （CVE-2023-28674、CVE-2023-28675）

  - High Convert To Pipeline Plugin 1.0 及更早版本的不需要用户向 HTTP 端点发送将 Freestyle 项目转变为管道的 POST 请求，这会导致跨站请求伪造 (CSRF) 漏洞。 利用此漏洞，攻击者可以基于 Freestyle 项目创建管道。
    此漏洞与 SECURITY-2966 同时出现会导致攻击者可以执行非沙盒化管道脚本。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28676)

  - High Convert To Pipeline Plugin 1.0 及更早版本使用基本字符串连接将 Freestyle 项目的构建环境、构建步骤和构建后操作转换为等效的管道步骤调用。这允许攻击者能够配置 Freestyle 项目以准备构建的配置，该配置会将管道脚本代码注入由 Convert To Pipeline Plugin 转换而来的（非沙盒化）管道中。如果管理员将 Freestyle 项目转换为管道，脚本将被预先批准。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。
    (CVE-2023-28677)

  - High Cppcheck Plugin 1.26 及更早版本在 Jenkins UI 上显示 Cppcheck 报告文件之前未对 Cppcheck 报告文件的文件名进行转义。这会导致攻击者可以利用存储型跨站脚本 (XSS) 漏洞，从而控制报告文件的内容。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28678)

  - High Mashup Portlets Plugin 1.1.2 及更早版本提供了 Generic JS Portlet 功能，可让用户使用自定义 JavaScript 表达式填充 portlet。这会导致经过身份验证且拥有全局/读取权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28679)

  - High Crap4J Plugin 0.9 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制 Crap Report 文件内容的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。
    (CVE-2023-28680)

  - High Visual Studio Code Metrics Plugin 1.7 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制 VS Code Metrics 文件内容的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。
    了解我们为何宣布此问题。(CVE-2023-28681)

  - High Performance Publisher Plugin 8.09 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制 PerfPublisher 报告文件的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。
    了解我们为何宣布此问题。(CVE-2023-28682)

  - High Phabricator Differential Plugin 2.1.5 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制“Post to Phabricator”构建后操作的覆盖报告文件内容的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28683)

  - High remote-jobs-view-plugin Plugin 0.0.3 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。经过身份验证且拥有全局/读取权限的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。
    了解我们为何宣布此问题。(CVE-2023-28684)

  - High AbsInt a Plugin 1.1.0 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制“Project File (APX)”内容的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28685)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

根據其自我報告的版本號碼，遠端 Web 伺服器上執行的 Jenkins 外掛程式版本受到多個弱點影響：

  - Jenkins 中的普通權限可以啟用和停用。某些權限預設為停用，例如，Overall/Manage 或 Item/Extended Read。使用者無法直接授予停用的權限，只能透過隱含的更高權限授予 (例如，Overall/Administer 或 Item/Configure)。角色型授權策略 Plugin 587.v2872c41fa_e51 及更早版本可以授予已停用的權限。這可讓攻擊者在下列作業發生後，擁有更大的存取權：直接或透過群組將權限授予攻擊者。例如，透過指令碼主控台停用此權限。角色型授權策略 Plugin 587.588.v850a_20a_30162 不會授予已停用的權限。(CVE-2023-28668)

  - 高 - JaCoCo Plugin 3.3.2 及更早版本不會逸出 UI 上顯示的類別和方法名稱。這會導致儲存型跨網站指令碼 (XSS) 弱點，能夠控制「Record JaCoCo coverage report」構建後動作的輸入檔案的攻擊者可利用此弱點。JaCoCo Plugin 3.3.2.1 會逸出 UI 上顯示的類別和方法名稱。(CVE-2023-28669)

  - 高 - Pipeline Aggregator View Plugin 1.13 及更早版本不會在內嵌 JavaScript 中逸出表示目前檢視 URL 的變數。這會導致儲存型跨網站指令碼 (XSS) 弱點，經驗證的具有 Overall/Read 權限的攻擊者可利用此弱點。Pipeline Aggregator View Plugin 1.14 能夠以不易遭受 XSS 攻擊的方式取得目前的 URL。(CVE-2023-28670)

  - 中等 - OctoPerf Load Testing Plugin 4.5.0 及更早版本不需要向連線測試 HTTP 端點提出 POST 要求，這會導致跨網站要求偽造 (CSRF) 弱點。攻擊者可藉此使用透過另一種方法取得的攻擊者指定憑證 ID，連線至攻擊者指定的 URL，進而擷取儲存在 Jenkins 中的憑證。OctoPerf Load Testing Plugin 4.5.1 需要向受影響的連線測試 HTTP 端點提出 POST 要求。
    (CVE-2023-28671)

  - 高 - OctoPerf Load Testing Plugin 4.5.1 及更早版本不會在連線測試 HTTP 端點中執行權限檢查。這會讓具有 Overall/Read 權限的攻擊者使用透過另一種方法取得的攻擊者指定憑證 ID，連線至攻擊者指定的 URL，進而擷取儲存在 Jenkins 中的憑證。OctoPerf Load Testing Plugin 4.5.2 在存取受影響的連線測試 HTTP 端點時，會正確執行權限檢查。(CVE-2023-28672)

  - 中等 - OctoPerf Load Testing Plugin 4.5.2 及更早版本不會在 HTTP 端點中執行權限檢查。這會讓具有 Overall/Read 權限的攻擊者列舉 Jenkins 中已儲存憑證的憑證 ID。這些弱點可作為攻擊的一部分，利用另一個弱點來擷取憑證。在 OctoPerf Load Testing Plugin 4.5.3 中，列舉憑證 ID 需要有適當的權限。(CVE-2023-28673)

  - 中等 - OctoPerf Load Testing Plugin 4.5.2 及更早版本不會在數個 HTTP 端點中執行權限檢查。具有 Overall/Read 權限的攻擊者可藉此使用攻擊者指定的憑證連線至之前設定的 Octoperf 伺服器。此外，這些端點不需要 POST 要求，這可導致跨網站要求偽造 (CSRF) 弱點。OctoPerf Load Testing Plugin 4.5.3 需要受影響的 HTTP 端點的 POST 要求和適當權限。
    (CVE-2023-28674、CVE-2023-28675)

  - 高 - Convert To Pipeline Plugin 1.0 及更早版本在將 Freestyle 專案轉換爲管線時，不需要向 HTTP 端點提出 POST 要求，這會導致跨網站要求偽造 (CSRF) 弱點。此弱點允許攻擊者根據 Freestyle 專案建立管線。
    結合 SECURITY-2966，這可導致攻擊者執行未經沙箱處理的管線指令碼。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28676)

  - 高 - Convert To Pipeline Plugin 1.0 及更早版本使用基本字串串連將 Freestyle 專案的構建環境、構建步驟和構建後動作轉換為等同的管線步驟叫用。這讓攻擊者能夠設定 Freestyle 專案，以準備特製的組態，將 Pipeline 指令碼插入由 Convert To Pipeline Plugin 轉換產生的 (未經沙箱處理的) 管線。如果系統管理員將 Freestyle 專案轉換為管線，則會預先核准此指令碼。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。
    (CVE-2023-28677)

  - 高 - Cppcheck Plugin 1.26 及更早版本未從 Cppcheck 報告檔案逸出檔案名稱便將其顯示在 Jenkins UI 上。這會導致儲存型跨網站指令碼 (XSS) 弱點，能夠控制報告檔案內容的攻擊者可利用此弱點。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28678)

  - 高 - Mashup Portlets Plugin 1.1.2 及更早版本提供 Generic JS Portlet 功能，讓使用者可以使用自訂 JavaScript 運算式填入 portlet。這會導致儲存型跨網站指令碼 (XSS) 弱點，經驗證的具有 Overall/Read 權限的攻擊者可利用此弱點。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28679)

  - 高 - Crap4J Plugin 0.9 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制 Crap 報告檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。
    (CVE-2023-28680)

  - 高 - Visual Studio Code Metrics Plugin 1.7 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制 VS Code Metrics 檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。
    瞭解我們為何宣佈此問題。(CVE-2023-28681)

  - 高 - Performance Publisher Plugin 8.09 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制 PerfPublisher 報告檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。
    瞭解我們為何宣佈此問題。(CVE-2023-28682)

  - 高 - Phabricator Differential Plugin 2.1.5 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制  'Post to Phabricator' 建構後動作覆蓋範圍報告檔案內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28683)

  - 高 - remote-jobs-view-plugin Plugin 0.0.3 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。具有 Overall/Read 權限的經驗證的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。
    瞭解我們為何宣佈此問題。(CVE-2023-28684)

  - 高 - AbsInt a Plugin 1.1.0 和更早版本未設定其 XML 剖析器，以防止 XML 外部實體 (XXE) 攻擊。能夠控制 'Project File (APX)' 內容的攻擊者可藉此讓 Jenkins 剖析使用外部實體的特製 XML 檔案，以便從 Jenkins 控制器擷取機密或發動伺服器端要求偽造攻擊。截至本公告發布時，尚無修正。瞭解我們為何宣佈此問題。(CVE-2023-28685)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根据其自我报告的版本号，远程 Web 服务器上运行的相应版本的 Jenkins 插件受到多种漏洞的影响：

  - Jenkins 中的中危权限可启用和禁用。某些权限默认为禁用状态，如 Overall/Manage 或 Item/Extended Read。被禁用的权限无法直接授予，只能通过包含这些权限的更高权限来授予（例如，Overall/Administer 或 Item/Configure）。在 587.v2872c41fa_e51 及更低版本的 Role-based Authorization Strategy Plugin 中，即使这些权限已被禁用，也仍然可以授予。因此，在执行以下操作后，攻击者拥有的访问权限会比他们有权获得的访问权限要多：直接或通过群组向攻击者授予权限。权限被禁用，例如借助脚本控制台。Role-based Authorization Strateg Plugin 587.588.v850a_20a_30162 不会授予被禁用的权限。(CVE-2023-28668)

  - High JaCoCo Plugin 3.3.2 及更早版本不会转义 UI 上显示的类和方法名称。这会导致攻击者可以利用存储型跨站脚本 (XSS) 漏洞，从而控制输入文件的“Record JaCoCo 覆盖报告”构建后操作。- JaCoCo Plugin 3.3.2.1 及更早版本会转义 UI 上显示的类和方法名称。(CVE-2023-28669)

  - High Pipeline Aggregator View Plugin 1.13 及更早版本不会转义内联 JavaScript 中代表当前视图 URL 的变量。这会导致经过身份验证且拥有全局/读取权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。Pipeline Aggregator View Plugin 1.14 以不易受 XSS 影响的方式获取当前 URL。(CVE-2023-28670)

  - Medium OctoPerf Load Testing Plugin 4.5.0 及更早版本不需要用户向连接测试 HTTP 端点发送 POST 请求，这会导致跨站请求伪造 (CSRF) 漏洞。此漏洞会导致攻击者可使用通过其他方法获取的攻击者指定凭据 ID，连接到攻击者指定的 URL，从而捕获 Jenkins 中存储的凭据。OctoPerf Load Testing Plugin 4.5.1 需要用户向受影响的连接测试 HTTP 端点发送 POST 请求。
    (CVE-2023-28671)

  - High OctoPerf Load Testing Plugin 4.5.1 及更早版本未对连接测试 HTTP 端点执行权限检查。- 这将导致拥有全局/读取权限的攻击者可使用通过其他方法获取的攻击者指定凭据 ID，连接到攻击者指定的 URL，从而捕获 Jenkins 中存储的凭据。OctoPerf Load Testing Plugin 4.5.2 在访问受影响的连接测试 HTTP 端点时会正确执行权限检查。(CVE-2023-28672)

  - Medium OctoPerf Load Testing Plugin 4.5.2 及更早版本未对 HTTP 端点执行权限检查。这将允许具有全局/读取权限的攻击者枚举存储在 Jenkins 中凭据的凭据 ID。这些可用作攻击的一部分，以使用其他漏洞捕获凭据。在 OctoPerf Load Testing Plugin 4.5.3 中，枚举凭据 ID 需要提供相应的权限。(CVE-2023-28673)

  - Medium OctoPerf Load Testing Plugin 4.5.2 及更早版本未对多个 HTTP 端点执行权限检查。这将允许拥有全局/读取权限的攻击者使用攻击者特定的凭据连接到之前配置的 Octoperf 服务器。此外，由于攻击者不需要向这些端点发送 POST 请求，从而导致跨站请求伪造 (CSRF) 漏洞。OctoPerf Load Testing Plugin 4.5.3 需要用户向受影响的 HTTP 端点发送 POST 请求并提供相应的权限。
    （CVE-2023-28674、CVE-2023-28675）

  - High Convert To Pipeline Plugin 1.0 及更早版本的不需要用户向 HTTP 端点发送将 Freestyle 项目转变为管道的 POST 请求，这会导致跨站请求伪造 (CSRF) 漏洞。利用此漏洞，攻击者可以基于 Freestyle 项目创建管道。
    此漏洞与 SECURITY-2966 同时出现会导致攻击者可以执行非沙盒化管道脚本。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28676)

  - High Convert To Pipeline Plugin 1.0 及更早版本使用基本字符串连接将 Freestyle 项目的构建环境、构建步骤和构建后操作转换为等效的管道步骤调用。这允许攻击者能够配置 Freestyle 项目以准备构建的配置，该配置会将管道脚本代码注入由 Convert To Pipeline Plugin 转换而来的（非沙盒化）管道中。如果管理员将 Freestyle 项目转换为管道，脚本将被预先批准。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。
    (CVE-2023-28677)

  - High Cppcheck Plugin 1.26 及更早版本在 Jenkins UI 上显示 Cppcheck 报告文件之前未对 Cppcheck 报告文件的文件名进行转义。这会导致攻击者可以利用存储型跨站脚本 (XSS) 漏洞，从而控制报告文件的内容。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28678)

  - High Mashup Portlets Plugin 1.1.2 及更早版本提供了 Generic JS Portlet 功能，可让用户使用自定义 JavaScript 表达式填充 portlet。这会导致经过身份验证且拥有全局/读取权限的攻击者可利用存储型跨站脚本 (XSS) 漏洞。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28679)

  - High Crap4J Plugin 0.9 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制 Crap Report 文件内容的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。
    (CVE-2023-28680)

  - High Visual Studio Code Metrics Plugin 1.7 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制 VS Code Metrics 文件内容的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。
    了解我们为何宣布此问题。(CVE-2023-28681)

  - High Performance Publisher Plugin 8.09 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制 PerfPublisher 报告文件的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。
    了解我们为何宣布此问题。(CVE-2023-28682)

  - High Phabricator Differential Plugin 2.1.5 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制“Post to Phabricator”构建后操作的覆盖报告文件内容的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28683)

  - High remote-jobs-view-plugin Plugin 0.0.3 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。经过身份验证且拥有全局/读取权限的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。
    了解我们为何宣布此问题。(CVE-2023-28684)

  - High AbsInt a Plugin 1.1.0 及更早版本未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。能够控制“Project File (APX)”内容的攻击者可借此让 Jenkins 解析构建的 XML 文档，该文档使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取密钥。在发布此公告时，尚无修复方法。了解我们为何宣布此问题。(CVE-2023-28685)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

リモート Web サーバーで実行されている Jenkins Enterprise または Jenkins Operations Center のバージョンは、2.346.40.0.12 より前の 2.346.xです。そのため、以下を含む複数の脆弱性による影響を受けます :

  - Jenkins の中程度の権限は有効化および無効化できます。Overall/Manage または Item/Extended 読み取りなど、一部の権限はデフォルトで無効になっています。無効化された権限は直接付与することはできません。それらを暗示するより大きな権限 (例：Overall/Administer または Item/Configure) を介してのみです。ロールベースの承認戦略プラグイン 587.v2872c41fa_e51 以前では、無効にした後でも権限が付与されます。これにより、攻撃者は次の操作が行われた後に、本来よりも多くのアクセス権を持つことができます。権限が攻撃者に直接またはグループを通じて付与される。スクリプトコンソールなどから権限が無効になっている。ロールベースの認証戦略プラグイン 587.588.v850a_20a_30162 は、無効な権限を付与しません。(CVE-2023-28668)

  - 重要度高 JaCoCo プラグイン 3.3.2以前では、UI に表示されるクラスおよびメソッドの名前をエスケープしません。これにより、攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生し、「Record JaCoCo Coverage Report」ビルド後のアクションの入力ファイルを制御できます。JaCoCo プラグイン 3.3.2.1は UI に表示されるクラスおよびメソッドの名前をエスケープしません。(CVE-2023-28669)

  - 重要度高 Pipeline Aggregator View プラグイン 1.13以前では、インライン JavaScript で現在のビューの URL を表す変数をエスケープしません。これにより、Overall/Read 権限を持つ認証された攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。Pipeline Aggregator View プラグイン 1.14 は、XSS の影響を受けない方法で現在の URL を取得します。(CVE-2023-28670)

  - 重要度中 OctoPerf Load Testing プラグイン プラグイン 4.5.0以前では、接続テスト HTTP エンドポイントに対して POST リクエストを必要としません。その結果、クロスサイトリクエストフォージェリ (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が他の方法によって取得した攻撃者指定の認証情報 ID を使って攻撃者指定の URL に接続し、Jenkins に保存されている認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.1は、影響を受ける接続テスト HTTP エンドポイントに対する POST リクエストを必要とします。
    (CVE-2023-28671)

  - 重要度高 OctoPerf Load Testing Plugin プラグイン 4.5.1以前では、接続テスト HTTP エンドポイントで権限チェックを実施しません。これにより、Overall / Read 権限を持つ攻撃者が、他の方法によって取得した攻撃者指定の認証情報 ID を使って攻撃者指定の URL に接続し、Jenkins に保存されている認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.2 は、影響を受ける接続テスト HTTP エンドポイントにアクセスしている時、権限チェックを適切に実施します。(CVE-2023-28672)

  - 重要度中 OctoPerf Load Testing Plugin プラグイン 4.5.2以前では、HTTP エンドポイントで権限チェックを実施しません。これにより、Overall/Read 権限を持つ攻撃者が、Jenkins に蓄積された認証情報 ID を列挙する可能性があります。これらを攻撃の一部として利用し、別の脆弱性を利用して認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.3の認証情報 ID の列挙には、適切な権限が必要です。(CVE-2023-28673)

  - 重要度中 OctoPerf Load Testing Plugin プラグイン 4.5.2以前では、HTTP エンドポイントで権限チェックを実施しません。これにより、Overall / Read 権限を持つ攻撃者が、攻撃者が指定した認証情報を使用して、以前に構成された Octoperf サーバーに接続する可能性があります。さらに、これらのエンドポイントは POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。OctoPerf Load Testing Plugin プラグイン 4.5.3では、影響を受ける HTTP エンドポイントに対して POST リクエストおよび適切な権限が必要です。
    (CVE-2023-28674, CVE-2023-28675)

  - 重要度高 Convert To Pipeline プラグイン 1.0以前では、Freestyle のプロジェクトを Pipeline に変換する HTTP エンドポイントに対する POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が Freestyle プロジェクトに基づいてパイプラインを作成する可能性があります。
    SECURITY-2966 と組み合わせると、サンドボックス化されていないパイプラインスクリプトが実行される可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28676)

  - 重要度高 Convert To Pipeline プラグイン 1.0以前では、基本的な文字列連結を使用して、Freestyle プロジェクトの Build Environment、Build Steps、および Post-build Actions を同等の Pipeline ステップ呼び出しに返還します。これにより、攻撃者は Freestyle プロジェクトを構成して、Convert To Pipeline プラグインによる変換の結果得られた (サンドボックス化されていない) Pipeline に Pipeline スクリプトコードを注入する細工された構成を準備する可能性があります。管理者が Freestyle プロジェクトを Pipeline に変換すると、スクリプトは事前承認されます。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
    (CVE-2023-28677)

  - 重要度高 Cppcheck プラグイン 1.26以前では、Jenkins UI に表示する前に、Cppcheck レポートファイルのファイル名をエスケープしません。これにより、攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生し、レポートファイルの内容を制御できます。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28678)

  - 重要度高 Mashup Portlets プラグイン 1.1.2以前は、ユーザーがカスタム JavaScript 表現を使用してポートレットを生成できる、Generic JS Portlet 機能を提供します。これにより、Overall/Read 権限を持つ認証された攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28679)

  - 重要度高 Crap4J プラグイン 0.9以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、Crap Report ファイルの内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
    (CVE-2023-28680)

  - 重要度高 Visual Studio Code Metrics プラグイン 1.7以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、VS Code Metrics File の内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
    弊社がこれを発表する理由をご覧ください。(CVE-2023-28681)

  - 重要度高 Performance Publisher プラグイン 8.09以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、PerfPublisher レポートファイルを制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
    弊社がこれを発表する理由をご覧ください。(CVE-2023-28682)

  - 重要度高 Phabricator Differential プラグイン 2.1.5以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、「Post to Phabricator」のビルド後のアクションのカバレッジレポートファイルの内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28683)

  - 重要度高 remote-jobs-view-plugin プラグイン 0.0.3以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、Overall/Read 権限がある認証された攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
    弊社がこれを発表する理由をご覧ください。(CVE-2023-28684)

  - 重要度高 AbsInt プラグイン 1.1.0以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、「Project File (APX)」の内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28685)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

自己報告によるバージョン番号によると、リモート Web サーバー上で実行されているバージョンの Jenkins プラグインは、次の複数の脆弱性の影響を受けます。

  - Jenkins の中程度のアクセス許可は有効化および無効化できます。Overall/Manage または Item/Extended 読み取りなど、一部の権限はデフォルトで無効になっています。無効化された権限は直接付与することはできません。それらを暗示するより大きな権限 (例：Overall/Administer または Item/Configure) を介してのみです。ロールベースの承認戦略プラグイン 587.v2872c41fa_e51 以前では、無効にした後でも権限が付与されます。これにより、攻撃者は次の操作が行われた後に、本来よりも多くのアクセス権を持つことができます。権限が攻撃者に直接またはグループを通じて付与される。スクリプトコンソールなどから権限が無効になっている。ロールベースの認証戦略プラグイン 587.588.v850a_20a_30162 は、無効な権限を付与しません。(CVE-2023-28668)

  - 重要度高 JaCoCo プラグイン 3.3.2以前では、UI に表示されるクラスおよびメソッドの名前をエスケープしません。これにより、攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生し、「Record JaCoCo Coverage Report」ビルド後のアクションの入力ファイルを制御できます。JaCoCo プラグイン 3.3.2.1は UI に表示されるクラスおよびメソッドの名前をエスケープしません。(CVE-2023-28669)

  - 重要度高 Pipeline Aggregator View プラグイン 1.13以前では、インライン JavaScript で現在のビューの URL を表す変数をエスケープしません。これにより、Overall/Read 権限を持つ認証された攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。Pipeline Aggregator View プラグイン 1.14 は、XSS の影響を受けない方法で現在の URL を取得します。(CVE-2023-28670)

  - 重要度中 OctoPerf Load Testing プラグイン プラグイン 4.5.0以前では、接続テスト HTTP エンドポイントに対して POST リクエストを必要としません。その結果、クロスサイトリクエストフォージェリ (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が他の方法によって取得した攻撃者指定の認証情報 ID を使って攻撃者指定の URL に接続し、Jenkins に保存されている認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.1は、影響を受ける接続テスト HTTP エンドポイントに対する POST リクエストを必要とします。
    (CVE-2023-28671)

  - 重要度高 OctoPerf Load Testing Plugin プラグイン 4.5.1以前では、接続テスト HTTP エンドポイントで権限チェックを実施しません。これにより、Overall / Read 権限を持つ攻撃者が、他の方法によって取得した攻撃者指定の認証情報 ID を使って攻撃者指定の URL に接続し、Jenkins に保存されている認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.2 は、影響を受ける接続テスト HTTP エンドポイントにアクセスしているとき、権限チェックを適切に実施します。(CVE-2023-28672)

  - 重要度中 OctoPerf Load Testing Plugin プラグイン 4.5.2以前では、HTTP エンドポイントで権限チェックを実施しません。これにより、Overall/Read 権限を持つ攻撃者が、Jenkins に蓄積された認証情報 ID を列挙する可能性があります。これらを攻撃の一部として利用し、別の脆弱性を利用して認証情報を取得する可能性があります。OctoPerf Load Testing Plugin プラグイン 4.5.3の認証情報 ID の列挙には、適切な権限が必要です。(CVE-2023-28673)

  - 重要度中 OctoPerf Load Testing Plugin プラグイン 4.5.2以前では、HTTP エンドポイントで権限チェックを実施しません。これにより、Overall / Read 権限を持つ攻撃者が、攻撃者が指定した認証情報を使用して、以前に構成された Octoperf サーバーに接続する可能性があります。さらに、これらのエンドポイントは POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。OctoPerf Load Testing Plugin プラグイン 4.5.3では、影響を受ける HTTP エンドポイントに対して POST リクエストおよび適切な権限が必要です。
    (CVE-2023-28674、CVE-2023-28675)

  - 重要度高 Convert To Pipeline プラグイン 1.0以前では、Freestyle のプロジェクトを Pipeline に変換する HTTP エンドポイントに対する POST リクエストを必要としないため、クロスサイトリクエスト偽造 (CSRF) の脆弱性が発生します。この脆弱性により、攻撃者が Freestyle プロジェクトに基づいてパイプラインを作成する可能性があります。
    SECURITY-2966 と組み合わせると、サンドボックス化されていないパイプラインスクリプトが実行される可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28676)

  - 重要度高 Convert To Pipeline プラグイン 1.0以前では、基本的な文字列連結を使用して、Freestyle プロジェクトの Build Environment、Build Steps、および Post-build Actions を同等の Pipeline ステップ呼び出しに返還します。これにより、攻撃者は Freestyle プロジェクトを構成して、Convert To Pipeline プラグインによる変換の結果得られた (サンドボックス化されていない) Pipeline に Pipeline スクリプトコードを注入する細工された構成を準備する可能性があります。管理者が Freestyle プロジェクトを Pipeline に変換すると、スクリプトは事前承認されます。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
    (CVE-2023-28677)

  - 重要度高 Cppcheck プラグイン 1.26以前では、Jenkins UI に表示する前に、Cppcheck レポートファイルのファイル名をエスケープしません。これにより、攻撃者が悪用可能な格納型クロスサイトスクリプティング (XSS) の脆弱性が発生し、レポートファイルの内容を制御できます。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28678)

  - 重要度高 Mashup Portlets プラグイン 1.1.2以前は、ユーザーがカスタム JavaScript 表現を使用してポートレットを生成できる、Generic JS Portlet 機能を提供します。これにより、Overall/Read 権限を持つ認証された攻撃者が悪用可能な蓄積型クロスサイトスクリプティング (XSS) の脆弱性が発生します。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28679)

  - 重要度高 Crap4J プラグイン 0.9以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、Crap Report ファイルの内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。
    (CVE-2023-28680)

  - 重要度高 Visual Studio Code Metrics プラグイン 1.7以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、VS Code Metrics File の内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
    弊社がこれを発表する理由をご覧ください。(CVE-2023-28681)

  - 重要度高 Performance Publisher プラグイン 8.09以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、PerfPublisher レポートファイルを制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
    弊社がこれを発表する理由をご覧ください。(CVE-2023-28682)

  - 重要度高 Phabricator Differential プラグイン 2.1.5以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、「Post to Phabricator」のビルド後のアクションのカバレッジレポートファイルの内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28683)

  - 重要度高 remote-jobs-view-plugin プラグイン 0.0.3以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、Overall/Read 権限がある認証された攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。
    弊社がこれを発表する理由をご覧ください。(CVE-2023-28684)

  - 重要度高 AbsInt プラグイン 1.1.0以前は、XML 外部エンティティ (XXE) 攻撃を防ぐための XML パーサーを構成していません。これにより、「Project File (APX)」の内容を制御できる攻撃者が、Jenkins コントローラーまたはサーバー側のリクエスト偽造から秘密を抽出するために外部エンティティを使用する細工された XML ドキュメントを Jenkins に解析させる可能性があります。このアドバイザリの公開時点では、修正はありません。弊社がこれを発表する理由をご覧ください。(CVE-2023-28685)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	Name	Product	Family	Published	Updated	Severity
179049	Jenkins plugins Multiple Vulnerabilities (2023-03-21)	Nessus	CGI abuses	7/31/2023	6/5/2024	critical
173193	Jenkins Enterprise and Operations Center 2.346.x < 2.346.40.0.12 Multiple Vulnerabilities (CloudBees Security Advisory 2023-03-21-security-advisory)	Nessus	CGI abuses	3/21/2023	6/4/2024	critical
173193	Jenkins Enterprise 和 Operations Center 2.346.x < 2.346.40.0.12 多個弱點 (CloudBees 2023-03-21-security-advisory 安全公告)	Nessus	CGI abuses	3/21/2023	6/4/2024	critical
173193	Jenkins Enterprise 和 Operations Center 2.346.x < 2.346.40.0.12 多个漏洞（CloudBees 安全公告 2023-03-21-security-advisory）	Nessus	CGI abuses	3/21/2023	6/4/2024	critical
179049	Jenkins plugin 多個弱點 (2023 年 3 月 21 日)	Nessus	CGI abuses	7/31/2023	6/5/2024	critical
179049	Jenkins 插件存在多个漏洞（2023 年 3 月 21 日）	Nessus	CGI abuses	7/31/2023	6/5/2024	critical
173193	Jenkins Enterprise および Operations Center 2.346.x< 2.346.40.0.12の複数の脆弱性 (CloudBees セキュリティアドバイザリ 2023-03-21-security-advisory)	Nessus	CGI abuses	3/21/2023	6/4/2024	critical
179049	Jenkins プラグインの複数の脆弱性 (2023 年 3 月 21 日)	Nessus	CGI abuses	7/31/2023	6/5/2024	critical

Detections

Analytics

Plugins Search

critical

critical

critical

critical

critical

critical

critical

critical