【高危】- Jenkins Git client插件命令执行漏洞(CVE-2019-10392)
■ 漏洞描述
Jenkins发布了官方安全公告:git客户端插件存在系统命令执行漏洞。
Git客户端插件接受用户指定的值作为调用的参数,git ls-remote以验证指定URL处是否存在Git存储库。
这是以允许具有Job/Configure权限的攻击者在Jenkins主服务器上执行任意系统命令作为Jenkins进程正在运行的OS用户的方式实现命令执行。
■ 影响范围
Git client Plugin <= 2.8.4
■ 漏洞检测
检测方法:
1、点击新建任务
2、选择源码管理,选中git
3、在Repository URL 中执行命令--upload-pack="`ifconfig`"
■ 漏洞修复
1)直接在系统管理中的插件管理进行升级,升级Git client插件至2.8.4以上版本。
■ 漏洞详情
https://mp.weixin.qq.com/s/Axx7KYm9irAQv7ZIO8autg
Jenkins发布了官方安全公告:git客户端插件存在系统命令执行漏洞。
Git客户端插件接受用户指定的值作为调用的参数,git ls-remote以验证指定URL处是否存在Git存储库。
这是以允许具有Job/Configure权限的攻击者在Jenkins主服务器上执行任意系统命令作为Jenkins进程正在运行的OS用户的方式实现命令执行。
■ 影响范围
Git client Plugin <= 2.8.4
■ 漏洞检测
检测方法:
1、点击新建任务
2、选择源码管理,选中git
3、在Repository URL 中执行命令--upload-pack="`ifconfig`"
■ 漏洞修复
1)直接在系统管理中的插件管理进行升级,升级Git client插件至2.8.4以上版本。
■ 漏洞详情
https://mp.weixin.qq.com/s/Axx7KYm9irAQv7ZIO8autg