CVE-2018-1000861
CVE-2018-1000861
Em resumo
O Jenkins versões até 2.153 contém uma falha no framework Stapler que permite atacantes executar código arbitrário acessando URLs especialmente criadas, ignorando as restrições de acesso aos métodos Java.
Detalhe técnico
Uma falha de execução de código baseada em desserialização e reflexão no MetaClass.java do Stapler permite que atacantes remotos invoquem métodos Java não intencionados através de requisições HTTP manipuladas. A vulnerabilidade afeta Jenkins 2.153 e LTS 2.138.3 e anteriores, sem necessidade de autenticação; a exploração bem-sucedida resulta em execução remota de código com privilégios do processo Jenkins.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java that allows attackers to invoke some methods on Java objects by accessing crafted URLs that were not intended to be invoked this way.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
githubgithub.com/1NTheKut/CVE-2019-1003000_RCE-DETECTION★ 4githubgithub.com/smokeintheshell/CVE-2018-1000861★ 0cve_referencepacketstormsecurity.com/files/166778/Jenkins-Remote-Code-Execution.htmlnão verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/166778/Jenkins-Remote-Code-Execution.htmlhttps://access.redhat.com/errata/RHBA-2019:0024https://jenkins.io/security/advisory/2018-12-05/#SECURITY-595https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-1000861http://www.securityfocus.com/bid/106176