良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

Jenkins 远程命令执行漏洞

Jenkins 对 HTTP 请求的处理依赖于 Stapler Web 框架。在 Stapler 中,任何名称以 get 开头且具有 string,int,long 或者没有参数的公共方法可以访问对象。这一命名约定特性与 Java 中的代码模式非常相似,容易导致混淆。攻击者可以通过构造恶意的 URL 调用实现越权访问对象,进一步获取用户敏感信息,导致权限提升,实施远程代码等攻击。



影响版本

Jenkins weekly 2.153 及之前版本

Jenkins LTS 2.138.3 及之前版本


安全版本

Jenkins weekly 2.154 版本

Jenkins LTS 2.138.4 版本

Jenkins LTS 2.150.1 版本


升级解决!

标签: Jenkins漏洞安全版本升级

作者:良玉 分类:系统安全 浏览:310 评论:0
留言列表
发表评论
来宾的头像