漏洞描述
Jenkins Role-based Authorization Strategy 插件是 Jenkins 的一个插件,它允许 Jenkins 管理员定义不同的角色,并为每个角色分配特定的权限,从而限制用户对 Jenkins 中的不同资源的访问。
Role-based Authorization Strategy 587.588.v850a_20a_30162之前版本中存在权限管理不当漏洞,该插件可以授予用户系统禁止的权限如:Overall/Manage 或 Item/Extended Read权限,具有该插件使用权限的攻击者可利用该漏洞获取系统中更高的访问权限。
漏洞名称 | Jenkins Role-based Authorization Strategy 插件权限管理不当 |
---|---|
漏洞类型 | 不充分权限或特权的处理不恰当 |
发现时间 | 2023-03-22 |
漏洞影响广度 | 小 |
MPS编号 | MPS-2023-8541 |
CVE编号 | CVE-2023-28668 |
CNVD编号 | - |
影响范围
Role-based Authorization Strategy@[1.1, 587.588.v850a_20a_30162)
修复方案
将组件 Role-based Authorization Strategy 升级至 587.588.v850a_20a_30162 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2023-8541
https://nvd.nist.gov/vuln/detail/CVE-2023-28668
https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-3053
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球*开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc