一、漏洞概述
Jenkins是一个开源软件项目,它是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。
3月9日,启明星辰VSRC监测到Jenkins官方发布安全公告,修复了Jenkins Server和Update Center中发现的2个跨站脚本漏洞(CVE-2023-27898和CVE-2023-27905,统称为“CorePlague”)。未经身份验证的威胁者可利用这些漏洞在受害者的 Jenkins Server上执行任意代码,可能导致 Jenkins Serve被完全破坏,漏洞详情如下:
CVE-2023-27898:Jenkins Plugin Manager跨站脚本漏洞(高危)
Jenkins 2.270-2.393、LTS 2.277.1- 2.375.3在插件管理器中呈现错误消息,说明其与当前版本的Jenkins不兼容时,不会转义插件所依赖的 Jenkins 版本,可能导致受到存储型XSS漏洞攻击,威胁者可利用该漏洞向配置的更新站点提供插件,并