一、 基本情况

      Jenkins Plugins 存在多个安全漏洞，CVE编号：CVE-2019-16538，CVE-2019-16539，CVE-2019-16540。攻击者通过以上漏洞可造成任意代码执行或任意文件删除危害。

      二、 攻击原理

      CVE-2019-16538漏洞：在Jenkins默认安装了低于1.68以下的Script Security Plugin安全插件的版本存在远程代码执行漏洞，恶意攻击者利用该漏洞可进行远程代码执行攻击，从而获取业务系统权限，直接影响到系统的安全性。

      CVE-2019-16539、CVE-2019-16540漏洞：在Jenkins安装了Support Core Plugin插件时可导致任意文件删除漏洞，该插件非默认安装，当插件版本低于2.64，恶意攻击者可通过该漏洞删除当前系统权限的任意文件。

      三、 影响范围

      受影响相关插件版本：

      Script Security Plugin < 1.68

      Support Core Plugin < 2.64

      四、 处置建议

      1) 修复建议：

      Script Security Plugin 升级至 1.68 版本

      Support Core Plugin 升级至 2.64版本

      2) 临时措施： 

      若无需要，请不要对外开放服务；若必须，请开启访问IP白名单及身份认证限制服务的访问，以减低被攻击的风险。 

      分发用户的权限应以最小化原则，授权用户应采用强口令。

      五、参考链接

      1) https://jenkins.io/security/advisories/