漏洞描述
Jenkins 是一个用 Java 开发的开源自动化服务器,Gitea 是一个用于代码托管的轻量级单体程序,用于将 Jenkins CI/CD 权限直接赋予 Gitea 服务器上被授权的组织或个人,用户无需单独为每一个仓库配置 Jenkins 触发器即可享受 CI/CD 功能。
Jenkins Gitea Plugin 1.4.4及之前版本中由于 Gitea 个人访问令牌的实现不支持凭证屏蔽,因此在构建日志中公开 Gitea 个人访问令牌(如当作为存储库 URL 的一部分打印时)。具有构建日志查看权限的攻击者可利用此漏洞获取用户 token,建议用户更新 Gitea Plugin 1.4.5 及以上版本,不能更新的用户可使用 SSH 对 Gitea 进行访问。
| 漏洞名称 | Jenkins Gitea Plugin <=1.4.4 存在 token 泄露漏洞 |
|---|---|
| 漏洞类型 | 敏感数据的明文传输 |
| 发现时间 | 2022-12-12 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-2022-66987 |
| CVE编号 | CVE-2022-46685 |
| CNVD编号 | - |
影响范围
org.jenkins-ci.plugins:gitea@(-∞, 1.4.5)
修复方案
升级org.jenkins-ci.plugins:gitea到 1.4.5 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-66987
https://nvd.nist.gov/vuln/detail/CVE-2022-46685
https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-2661
https://github.com/jenkinsci/gitea-plugin/commit/b3b2bd869b91f9f1312bbbbf6128cad2cd86bd8c
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
