CVE-2019-10405 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Jenkins 在 `/whoAmI` 接口错误地打印了标记为 `HttpOnly` 的 Cookie 值。 💥 **后果**：敏感认证凭据泄露，攻击者可窃取 Cookie 进行身份冒充。

🛠️ **缺陷点**：Web 应用配置/代码逻辑错误。 📝 **CWE**：数据未提供具体 CWE ID，属典型的**敏感信息泄露**类缺陷。

📦 **受影响组件**：CloudBees Jenkins (Hudson Labs)。 📅 **版本范围**： - 标准版：**2.196 及之前** - LTS版：**2.176.3 及之前**

🕵️ **黑客能力**： - 获取**Cookie 认证凭据**。 - 若结合 XSS 或 URL 暴露，可直接**接管会话**。 - 权限提升：从匿名/低权限变为**已认证用户**。

🚪 **利用门槛**： - **无需认证**即可触发泄露。 - 依赖条件：URL 需被暴露或存在 XSS 辅助。 - 配置错误导致，非复杂逻辑漏洞。

💻 **现成 Exp**： - ✅ 有 PoC：ProjectDiscovery nuclei 模板已收录。 - 📂 链接：`http/cves/2019/CVE-2019-10405.yaml` - 🌍 在野利用：参考 OSS-Security 邮件列表讨论。

🔍 **自查方法**： - 访问 `/whoAmI/` 接口。 - 检查响应中是否明文包含 `Jenkins` 相关的 Cookie 值。 - 使用 Nuclei 等工具扫描该特定 CVE 特征。

🛡️ **官方修复**： - ✅ 已发布安全公告 (2019-09-25)。 - 💡 **缓解措施**：升级至 **2.197+** 或 **LTS 2.176.4+** 版本。

⚠️ **无补丁规避**： - 限制 `/whoAmI` 接口的访问权限。 - 部署 WAF 拦截包含敏感 Cookie 的响应。 - 监控异常 Cookie 读取行为。

🔥 **优先级**：🔴 **高**。 - 直接导致**会话劫持**风险。 - 利用简单，无需复杂交互。 - 建议立即评估版本并升级。