CloudBees Jenkins代码执行漏洞

CloudBees Jenkins代码执行漏洞

CloudBees Jenkins（前称Hudson Labs）是美国CloudBees公司的一套基于Java开发的持续集成工具，它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS（Long-Term Support）是CloudBees Jenkins的一个长期支持版本。

一、漏洞分析

公开日期：2019-07-26

漏洞编号：CNVD-2019-24406/CVE-2018-1000861

危害等级：高危

漏洞描述：CloudBees Jenkins 2.153及之前版本和LTS 2.138.3及之前版本中的stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java文件的StaplerWeb框架存在代码执行漏洞，攻击者可借助特制的URLs利用该漏洞执行代码。

二、漏洞影响范围

CloudBees Jenkins <=2.153

CloudBees Jenkins <=LTS 2.138.3

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://jenkins.io/security/advisory/2018-12-05/#SECURITY-595