漏洞标题
N/A
漏洞描述信息
Jenkins 管道:2.17 及更早版本的支持 API 插件由于不完整的 sandbox 保护而具有任意代码执行功能:管道脚本中实现与 Java 解析相关的类似 readResolve 方法并未受 sandbox 保护,因此可以执行任意代码。这可以被有权限地在 Jenkins 中配置管道的常规 Jenkins 用户或 trusted 提交者利用,例如从包含 Jenkinsfile 的存储库中执行。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Jenkins Pipeline: Supporting APIs Plugin 2.17 and earlier have an arbitrary code execution due to incomplete sandbox protection: Methods related to Java deserialization like readResolve implemented in Pipeline scripts were not subject to sandbox protection, and could therefore execute arbitrary code. This could be exploited e.g. by regular Jenkins users with the permission to configure Pipelines in Jenkins, or by trusted committers to repositories containing Jenkinsfiles.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
CloudBees Jenkins Pipeline: Supporting APIs Plugin 安全漏洞
漏洞描述信息
CloudBees Jenkins(前称Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Pipeline: Supporting APIs Plugin是使用在其中的一个Pipeline的常用工具实现插件。 CloudBees Jenkins Pipeline: Supporting APIs Plugin 2.17及之前版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
CVSS信息
N/A
漏洞类别
授权问题