VNG Cloud Logo

CVE-2023-39151 Stored XSS vulnerability in Jenkins

Severity: High

Mô tả

Jenkins là một công cụ mã nguồn mở thực hiện các chức năng tích hợp và phân phối liên tục (CICD - Continuous Integration, Continuous Delivery) cho phép các developers tự động hoá các quy trình build, test, và deploy phần mềm.  

Jenkins cũng hỗ trợ nhiều plugin để mở rộng chức năng và tương thích với nhiều ngôn ngữ lập trình, công cụ và hệ thống: Bazaar plugin, GitLab Authentication Plugin, Gradle Plugin, Chef Identity Plugin...

Ngày 26/07/2023, Jenkins đã đưa ra thông báo về một loạt các lỗ hổng bảo mật liên quan đến sản phẩm và các plugins. Trong đó lỗ hổng mức độ nghiêm trọng cao là Stored XSS nằm trong Jenkins core.  

Lỗ hổng này cho phép kẻ tấn công chèn scripts độc hại vào trong build logs của Jenkins jobs bằng cách điều chỉnh các URLs không được “làm sạch” trước khi được chuyển hoá thành các hyperlinks. Những đoạn mã này sau đó có thể thực thi trên browser của bất kỳ user nào xem build log để đánh cắp thông tin nhạy cảm, thực hiện các hành động trái phép hoặc compromise Jenkins instance.

Phiên bản bị ảnh hưởng

  • Jenkins versions <= 2.415  
     
  • Jenkins LTS versions <= 2.401.2 
     

Phiên bản không bị ảnh hưởng

  • Jenkins weekly: version 2.416
  • Jenkins LTS: version 2.401.3

Bên cạnh core Jenkins, các plugins khác (nếu có) cũng nên được cập nhật lên các phiên bản mới nhất dưới đây:

  1. GitLab Authentication Plugin: version 1.18 
     
  2. Gradle Plugin: version 2.8.1 
     
  3. Qualys Web App Scanning Connector Plugin: version 2.0.11 
     
  4. ServiceNow DevOps Plugin: version 1.38.1 


Khuyến nghị  

Các sys admin của hệ thống có sử dụng Jenkins đang bị ảnh hưởng cần nâng cấp Jenkins lên phiên bản 2.416, LTS 2.401.3 hoặc cao hơn đã có mã hoá URLs trước khi đưa vào build logs.

Tham khảo

https://www.jenkins.io/security/advisory/2023-07-26/ 
NVD - CVE-2023-39151 (nist.gov)