Jenkins 发布安全更新，修复多个漏洞

0x01 漏洞描述

Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件的持续集成变成可能。

2021年11月16日，360漏洞云团队监测到Jenkins发布安全公告，修复了6个存在于插件中的高危漏洞。漏洞详情如下：

 CVE-2021-21699

影响产品：Active Choices Plugin

漏洞类型：XSS

漏洞描述：该漏洞是由于该插件不会转义反应参数和动态参考参数的参数名称， 这会导致一个可以被拥有Job/Configure权限的攻击者利用的存储型跨站脚本 (XSS) 漏洞。

 CVE-2021-21700

影响产品：Scriptler Plugin

漏洞类型：XSS

漏洞描述：该漏洞是由于该插件在要求确认删除时不会转义 UI 上的脚本名称。这会导致一个可以被能够创建 Scriptler 脚本的攻击者利用的存储型跨站脚本 (XSS) 漏洞。

 CVE-2021-21701

影响产品：Performance Plugin

漏洞类型：XXE

漏洞描述：该漏洞是由于该插件未配置其 XML 解析器来防止 XML 外部实体 (XXE) 攻击。这允许攻击者能够控制工作区内容，让 Jenkins 解析精心制作的 XML 报告文件，该文件使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取机密 。

 CVE-2021-43576

影响产品：pom2config Plugin

漏洞类型：XXE

漏洞描述：该漏洞是由于该插件未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。这允许具有Overall/Read和Item/Read权限的攻击者让 Jenkins 解析精心制作的 XML 文件，该文件使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取机密 。 

 CVE-2021-43577

影响产品：OWASP Dependency-Check Plugin

漏洞类型：XXE

漏洞描述：该漏洞是由于该插件未配置其 XML 解析器以防止 XML 外部实体 (XXE) 攻击。这允许攻击者能够控制工作区内容，让 Jenkins 解析精心制作的 XML 文件，该文件使用外部实体从 Jenkins 控制器或服务器端请求伪造中提取机密。

 CVE-2021-43578

影响产品：Squash TM Publisher (Squash4Jenkins) Plugin

漏洞类型：任意文件写入

漏洞描述：该漏洞是由于该插件实现了代理到控制器消息，该消息未实现对其输入的任何验证。这允许攻击者能够控制代理进程，用攻击者控制的 JSON 字符串替换 Jenkins 控制器文件系统上的任意文件。

0x02 危害等级

高危

0x03 影响版本

Active Choices Plugin <=2.5.6 

Scriptler Plugin <=3.3 

Performance Plugin <=3.20 

pom2config Plugin <=1.2 

OWASP Dependency-Check Plugin <=5.1.1 

Squash TM Publisher (Squash4Jenkins) Plugin <=1.0.0

0x04 修复建议

CVE-2021-21699：Active Choices Plugin已升级到2.5.7，请尽快更新。

CVE-2021-21700：Scriptler Plugin已升级到3.4，请尽快更新。

其余CVE在截止本公告公布时，尚无修复方法。

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。