Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具。Script Security and Pipeline插件是Jenkins的一个安全插件,可以集成到Jenkins各种功能插件中。

近日,阿里云应急响应中心监控到Jenkins的Script Security and Pipeline插件远程代码执行漏洞(CVE编号:CVE-2019-1003000)的利用方式在互联网上被公布。拥有Overall/Read权限的用户可以绕过沙盒保护,在jenkins上执行任意代码,危害极大。

漏洞描述请参见:Jenkins Security Advisory 2019-01-08

漏洞影响范围:
  • Declarative Plugin 1.3.4.1版本以下
  • Groovy Plugin 2.61.1版本以下
  • Script Security Plugin 1.5.0版本以下

漏洞危险等级:高危

规则防护:云防火墙虚拟补丁已支持防护

规则类型:命令执行