发布日期：2018-07-18
更新日期：2018-07-26

受影响系统：

Jenkins Jenkins weekly <= 2.132
Jenkins Jenkins LTS <= 2.121.1

描述：

---

CVE(CAN) ID: CVE-2018-1999001

Jenkins 是一款基于Java开发的开源的、用于持续集成和持续交付的自动化中间件。

Jenkins weekly 2.132 版本及以下、Jenkins LTS 2.121.1版本及以下，在实现上存在权限提升漏洞，攻击者可利用此漏洞从Jenkins主目录下移除 config.xml 配置文件到其他目录，当Jenkins 服务再次重启时，因加载不了config.xml中配置的安全域和授权策略，退回 legacy 模式，并且赋予匿名用户管理员访问权限。当攻击者获取Jenkins权限后，可查看构建历史数据，甚至可下载工作区的代码，导致核心代码泄露；攻击者在进入管理页面后，可通过“系统管理”下的“脚本命令行”功能，执行用于管理或故障探测或诊断的任意脚本命令，对Jenkins系统服务器产生比较严重的影响和危害。

<*来源：vendor
  *>

建议：

---

厂商补丁：

Jenkins
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://jenkins.io/security/advisory/2018-07-18/

浏览次数：2535
严重程度：0（网友投票）