漏洞描述

Jenkins Role-based Authorization Strategy 插件是 Jenkins 的一个插件，它允许 Jenkins 管理员定义不同的角色，并为每个角色分配特定的权限，从而限制用户对 Jenkins 中的不同资源的访问。

Role-based Authorization Strategy 587.588.v850a_20a_30162之前版本中存在权限管理不当漏洞，该插件可以授予用户系统禁止的权限如：Overall/Manage 或 Item/Extended Read权限，具有该插件使用权限的攻击者可利用该漏洞获取系统中更高的访问权限。

影响范围

Role-based Authorization Strategy@[1.1, 587.588.v850a_20a_30162)

修复方案

将组件 Role-based Authorization Strategy 升级至 587.588.v850a_20a_30162 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-8541

https://nvd.nist.gov/vuln/detail/CVE-2023-28668

https://www.jenkins.io/security/advisory/2023-03-21/#SECURITY-3053

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc