当前位置:首页 > 漏洞预警 > 正文

Jenkins Git client插件 远程命令执行漏洞(CVE-2019-10392)预警

发布时间:2019-09-27 12:05:55,来源:中国信息通信研究院

      一、 基本情况

Jenkins Git client插件存在远程命令执行漏洞,CVE编号:CVE-2019-10392。该漏洞存在于Git客户端插件中,若攻击者获取到具有Job/Configure权限的账号,可在Jenkins服务器上执行任意系统命令。

      二、 攻击原理

Jenkins是一款基于Java开发的开源项目,用于持续集成和持续交付的自动化中间件,是开发过程中常用的产品,将近有4万Jenkins服务开放在公网。

该漏洞存在于Jenkins Git client插件中,由于在Git项目创建功能中,服务器未对repo url字段进行安全验证,攻击者可以在此字段插入--upload-pack参数,并在参数后插入想要执行的命令。当Jenkins接收到传入的数据时,会在传入的参数值前面添加git ls-remote -h 并将传入的数据连接在后面,形成如下格式的命令:

图片.png

从而在Jenkins服务器上执行任意命令。

      三、 影响范围

受影响版本:

Git client plugin <= 2.8.4

不受影响版本:

Git client plugin > 2.8.4

      四、 处置建议

目前Jenkins官方已经针对该漏洞发布了新版本,请受影响的用户尽快升级Git client插件至2.8.4以上版本进行防护,操作步骤如下:

点击“Manage Jenkins”->“Manage Plugins”,进入插件管理界面,选择需要升级的插件,点击“Download now and install after restart”进行更新操作。

      五、 参考链接

https://jenkins.io/security/advisory/2019-09-12/