CVE-2019-1003000
| ID: | 14704 |
|---|---|
| 标题: | CVE-2019-1003000 |
| 描述: | Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成 该漏洞存在于`Declarative Plugin 1.3.4.1`之前的版本, `Groovy Plugin 2.61.1`之前的版本以及`Script Security Plugin 1.50`之前的版本。该漏洞通过将AST转换注释(如@Grab)应用于源代码元素,可以在脚本编译阶段避免脚本安全沙箱保护。所以会造成具有`“Overall/Read”`权限的用户或能够控制SCM中的`Jenkinsfile`或者`sandboxed Pipeline`共享库内容的用户可以绕过沙盒保护并在Jenkins主服务器上执行任意代码。账户信息:user1 |
| 类型: | WEB |
| 网站: | 春秋云境 |
| 题目链接: | https://yunjing.ichunqiu.com/cvevip |
| 赛事: | 春秋云境 |
| 年度: | None |
| Flag值: | 无 |
| writeup: | https://cloud.tencent.com/developer/article/1512575 |