应用安全 - 工具|框架 - Java - Jenkins - 漏洞 - 汇总

未授权访问

/script
/manage
/asynchPeople/
/config.xml

CVE-2015-8103

Date
2015.11

类型
反序列化导致远程命令执行

影响范围
Jenkins jenkins 〈= LTS 1.625.1
Jenkins jenkins 〈= 1.637

CVE-2016-0792

Date
2016

类型

影响范围

CVE-2016-9299

Date
2016

类型

影响范围

cve-2017-1000353

Date
2017

类型
远程命令执行

影响范围
所有Jenkins主版本均受到影响(包括<=2.56版本)
所有Jenkins LTS 均受到影响( 包括<=2.46.1版本)

前置条件

CVE-2018-1000600

Date
2018

类型
CSRF and missing permission checks in GitHub Plugin

影响范围

CVE-2018-1999046

Date
2018

类型
Unauthorized users could access agent logs

影响范围

CVE-2019-1003000 

Date
2019

类型
Sandbox Bypass in Script Security and Pipeline Plugins
影响范围

CVE-2019-1003001 

Date
2019

类型
Sandbox Bypass in Script Security and Pipeline Plugins

影响范围

CVE-2019-1003002

Date

类型
Sandbox Bypass in Script Security and Pipeline Plugins

影响范围

CVE-2018-1000861

Date
2018

类型
任意命令执行

影响范围

CVE-2018-1999002

Date
2018

类型
任意文件读取

影响范围
Jenkins weekly up to and including 2.132
Jenkins LTS up to and including 2.121.1

复现
Windows（需登录前台后开启一定权限）

 Linux