CVE-2019-1003029
CVE-2019-1003029
En resumen
El plugin Jenkins Script Security tiene una falla que permite a usuarios con acceso básico de lectura eludir la protección de sandbox y ejecutar cualquier código en el servidor Jenkins. Esto es peligroso porque les da a los atacantes control total sobre el sistema Jenkins.
Detalle técnico
Una vulnerabilidad de evasión de sandbox en Jenkins Script Security Plugin versión 1.53 y anteriores permite que atacantes con permiso Overall/Read ejecuten código arbitrario en la JVM del Jenkins master. La falla existe en las clases GroovySandbox y SecureGroovyScript, habilitando ejecución de código con privilegios del master Jenkins.
Resumen generado y traducido por IA a partir de la descripción oficial.
A sandbox bypass vulnerability exists in Jenkins Script Security Plugin 1.53 and earlier in src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/SecureGroovyScript.java that allows attackers with Overall/Read permission to execute arbitrary code on the Jenkins master JVM.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
Jenkins project · Jenkins Script Security PluginPoCs públicas encontradas — 1
cve_referencepacketstormsecurity.com/files/166778/Jenkins-Remote-Code-Execution.htmlno verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://packetstormsecurity.com/files/166778/Jenkins-Remote-Code-Execution.htmlhttps://access.redhat.com/errata/RHSA-2019:0739https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1336%20%281%29https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-1003029http://www.securityfocus.com/bid/107476