一、 漏洞 CVE-2019-10384 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Jenkins 2.191 及以上版本,LTS 2.176.2 及以上版本允许用户在没有关联的 web 会话 ID 的情况下获得 CSRF 令牌,导致 CSRF 令牌不会过期,可以用于绕过匿名用户对她的保护。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Jenkins 2.191 and earlier, LTS 2.176.2 and earlier allowed users to obtain CSRF tokens without an associated web session ID, resulting in CSRF tokens that did not expire and could be used to bypass CSRF protection for the anonymous user.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
CloudBees Jenkins 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBeesJenkins的一个长期支持版本。 CloudBees Jenkins 2.191及之前版本和LTS 2.176.2及之前版本中存在安全漏洞。攻击者可利用该漏洞获取CSRF令牌进而绕过CSRF保护。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-10384 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2019-10384 的情报信息