PWNWIK.COM==免费、自由、人人可编辑的漏洞库
,
实际影响版本及编号:CVE-2019-1003000 (Script Security), CVE-2019-1003001 (Pipeline: Groovy), CVE-2019-1003002 (Pipeline: Declarative)
拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码和一个存在的job。
受影响插件版本:
Pipeline: Declarative 插件 <= 1.3.4。
Pipeline: Groovy 插件 <= 2.61。
Script Security 插件 <= 1.49。
下载环境和利用代码:
https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc.git
pwnwiki.com