首頁 > 安全研究 > 安全通報 > 安全通告

Jenkins Git Client插件遠程命令執行漏洞安全通告

發布時間 2019-09-18

漏洞編號和級別


CVE編號:CVE-2019-10392,危險級別:高危,CVSS分值:8.8


影響版本


受影響的版本


Git Client Plugin <= 2.8.4


漏洞概述


Jenkins Git Client插件中發現遠程命令執行漏洞。Git Client插件為Jenkins插件提供了git應用程序編程接口(API)。 它可以獲取,簽出,分支,列表,合并和標記存儲庫。 Git Client接口提供git訪問的主要入口點。 它支持Jenkins憑據插件提供的用戶名/密碼憑據和私鑰憑證。這個插件據官方數據安裝量有24萬多,安裝量比較大。


該漏洞源于Git客戶端插件接受用戶指定的值作為調用git ls-remote的參數,以驗證指定URL處是否存在Git存儲庫。 這是以允許具有作業/配置權限的攻擊者在Jenkins主服務器上執行任意系統命令作為Jenkins進程正在運行的OS用戶的方式實現的。由于接收用戶輸入Repository URL而沒有做過濾,導致了與git ls-remote命令拼接,執行了用戶可控的命令。


漏洞驗證


EXP:https://iwantmore.pizza/posts/cve-2019-10392.html。


修復建議


升級Git Client Plugin:


https://plugins.jenkins.io/git-client。


參考鏈接


https://jenkins.io/security/advisory/2019-09-12/#SECURITY-1534


上一篇 下一篇