近日,Jenkins发布安全公告,称插件Script Security、Pipeline: Groovy和Pipeline: Declarativ 存在沙箱绕过漏洞,CVE编号分别为:CVE-2019-1003000、CVE-2019-1003001和CVE-2019-1003002。利用该漏洞,攻击者可不经身份认证实现远程代码执行。
漏洞的综合评级为“高危”
Jenkins是一款由Java编写的开源的持续集成工具,提供了软件开发的持续集成服务。
攻击者利用漏洞,可在不经身份认证的情况下,绕过沙箱保护,在 Jenkins 主服务器上实现远程执行任意代码。
影响版本
安全建议
1.更新插件至已修复版本:
2. 沙箱脚本中禁止 Groovy 中所有已知的不安全 AST 转换;沙箱脚本中禁止 Groovy 中所有已知的不安全 AST 转换;
3. 使用第三方防火墙进行防护(如创宇盾);
4. 进行专业技术业务咨询。知道创宇技术业务咨询热线如下: