Jenkins Gitea Plugin <=1.4.4 存在 token 泄露漏洞

漏洞描述

Jenkins 是一个用 Java 开发的开源自动化服务器，Gitea 是一个用于代码托管的轻量级单体程序，用于将 Jenkins CI/CD 权限直接赋予 Gitea 服务器上被授权的组织或个人，用户无需单独为每一个仓库配置 Jenkins 触发器即可享受 CI/CD 功能。

Jenkins Gitea Plugin 1.4.4及之前版本中由于 Gitea 个人访问令牌的实现不支持凭证屏蔽，因此在构建日志中公开 Gitea 个人访问令牌（如当作为存储库 URL 的一部分打印时）。具有构建日志查看权限的攻击者可利用此漏洞获取用户 token，建议用户更新 Gitea Plugin 1.4.5 及以上版本，不能更新的用户可使用 SSH 对 Gitea 进行访问。

漏洞名称	Jenkins Gitea Plugin <=1.4.4 存在 token 泄露漏洞
漏洞类型	敏感数据的明文传输
发现时间	2022-12-12
漏洞影响广度	一般
MPS编号	MPS-2022-66987
CVE编号	CVE-2022-46685
CNVD编号	-

影响范围

org.jenkins-ci.plugins:gitea@(-∞, 1.4.5)

修复方案

升级org.jenkins-ci.plugins:gitea到 1.4.5 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-66987

https://nvd.nist.gov/vuln/detail/CVE-2022-46685

https://www.jenkins.io/security/advisory/2022-12-07/#SECURITY-2661

https://github.com/jenkinsci/gitea-plugin/commit/b3b2bd869b91f9f1312bbbbf6128cad2cd86bd8c

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc