发布日期：2020-06-03
更新日期：2020-06-10

受影响系统：

Jenkins Play Framework Plugin <=1.0.2

描述：

---

CVE(CAN) ID: CVE-2020-2200

Jenkins 是一款基于Java开发的开源的、用于持续集成和持续交付的自动化中间件。Jenkins Play Framework插件将Play和Activator的命令行功能带入Jenkins环境，并集成到广泛使用的Continuous Integration平台上。

Jenkins Play Framework插件的1.0.2及之前版本，允许用户对表单验证端点指定Jenkins master上“play”命令的路径，在实现中存在系统命令注入漏洞，可以在Jenkins master上存储文件的用户可利用该漏洞注入任意命令。

<*来源：Daniel Beck
  *>

建议：

---

厂商补丁：

Jenkins
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.jenkins.io/security/advisory/2020-06-03/#SECURITY-1879

参考：http://www.openwall.com/lists/oss-security/2020/06/03/3

浏览次数：1017
严重程度：0（网友投票）