Loading
0

CVE-2019-1003000 远程代码执行漏洞/zh-hant

PWNWIK.COM==免费、自由、人人可编辑的漏洞库

,

实际影响版本及编号:CVE-2019-1003000 (Script Security), CVE-2019-1003001 (Pipeline: Groovy), CVE-2019-1003002 (Pipeline: Declarative)

拥有Overall/Read 权限的用户可以绕过沙盒保护,在jenkins可以执行任意代码。此漏洞需要一个账号密码和一个存在的job。

受影响插件版本:

Pipeline: Declarative 插件 <= 1.3.4。

Pipeline: Groovy 插件 <= 2.61。

Script Security 插件 <= 1.49。

下载环境和利用代码:

https://github.com/adamyordan/cve-2019-1003000-jenkins-rce-poc.git

pwnwiki.com