CVE编号
CVE-2018-19990利用情况
暂无补丁情况
N/A披露时间
2019-05-14漏洞描述
Jenkins 是一款基于Java开发的开源的、用于持续集成和持续交付的自动化中间件。Jenkins weekly 2.132 版本及以下、Jenkins LTS 2.121.1版本及以下,在实现上存在权限提升漏洞,攻击者可利用此漏洞从Jenkins主目录下移除 config.xml 配置文件到其他目录,当Jenkins 服务再次重启时,因加载不了config.xml中配置的安全域和授权策略,退回 legacy 模式,并且赋予匿名用户管理员访问权限。当攻击者获取Jenkins权限后,可查看构建历史数据,甚至可下载工作区的代码,导致核心代码泄露;攻击者在进入管理页面后,可通过“系统管理”下的“脚本命令行”功能,执行用于管理或故障探测或诊断的任意脚本命令,对Jenkins系统服务器产生比较严重的影响和危害。<br>解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/pr0v3rbs/CVE/tree/master/CVE-2018-19986%20-%2019990 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.10 | libav | * |
Up to (excluding) 4.0.2-r0 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.11 | libav | * |
Up to (excluding) 4.0.2-r0 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.12 | libav | * |
Up to (excluding) 4.0.2-r0 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_3.13 | libav | * |
Up to (excluding) 4.0.2-r0 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | alpine_edge | libav | * |
Up to (excluding) 4.0.2-r0 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | d-link | dir-822_firmware | 202krb06 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_8 | libav | * |
Up to (excluding) 6:11.12-1~deb8u2 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_9 | libav | * |
Up to (excluding) 1:1.12.6-1+deb9u1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_27 | libav | * |
Up to (excluding) 1.14.4-1.fc27 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | fedora_28 | libav | * |
Up to (excluding) 1.14.4-1.fc28 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_16.04_lts | ffmpeg | * |
Up to (excluding) 7:2.8.15-0ubuntu0.16.04.1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | ubuntu_18.10 | wesnoth-1.14 | * |
Up to (excluding) 1:1.14.4-1 |
|||||
| 运行在以下环境 | |||||||||
| 硬件 | d-link | dir-822 | - | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
还没有评论,来说两句吧...