Jenkins多插件沙箱绕过及CSRF漏洞公告(CVE-2019-1003005/3006/3007)

关键漏洞信息 漏洞公告 编号: Jenkins Security Advisory 2019-01-28 涉及插件 Active Directory Plugin Blue Ocean Plugin Config File Provider Plugin Git Plugin GitHub Authentication Plugin Groovy Plugin Job Import Plugin Kanboard Plugin Monitoring Plugin OpenID Connect Authentication Plugin Script Security Plugin Token Macro Plugin Warnings Plugin 主要漏洞描述 1. Script Security Plugin - Sandbox Bypass CVE: SECURITY-1292 / CVE-2019-1003005 严重性: high 描述: 通过应用不安全的AST转换注释，如 ，可以绕过Script Security插件的沙箱保护。 2. Groovy Plugin - Sandbox Bypass CVE: SECURITY-1293 / CVE-2019-1003006 严重性: high 描述: 通过应用不安全的AST转换注释，如 ，可以绕过Groovy插件的沙箱保护。 3. Warnings Plugin - CSRF CVE: SECURITY-1295 (1) / CVE-2019-1003007 严重性: high 描述: 通过应用不安全的AST转换注释，如 ，可以绕过Warnings插件的沙箱保护。 修复建议 更新受影响的插件至推荐版本。 严重性等级 高: SECURITY-1292, SECURITY-1293, SECURITY-1295(1), SECURITY-1295(2), SECURITY-905(1), SECURITY-1282, SECURITY-859 中: SECURITY-1295, SECURITY-1102, SECURITY-1153, SECURITY-1201, SECURITY-1204, SECURITY-1253, SECURITY-1302, SECURITY-818, SECURITY-797, SECURITY-292, SECURITY-1154, SECURITY-1271, SECURITY-1253, SECURITY-818, SECURITY-1271 低: SECURITY-1095, SECURITY-602, SECURITY-797, SECURITY-1154, SECURITY-1201, SECURITY-1204, SECURITY-1253, SECURITY-818, SECURITY-1271

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Jenkins多插件沙箱绕过及CSRF漏洞公告(CVE-2019-1003005/3006/3007)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！