Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-02070

Опубликовано: 06 мар. 2019
Источник: fstec
CVSS3: 9.9
CVSS2: 6.5
EPSS Критический

Описание

Уязвимость компонентов GroovySandbox.java (src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java) и SecureGroovyScript.java (src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/SecureGroovyScript.java) плагина Jenkins Script Security связана с ошибками обработки входных данных при выполнении синтаксического анализа кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выйти из изолированной программной среды и выполнить произвольный код

Вендор

CD Foundation

Наименование ПО

Jenkins Script Security

Версия ПО

от 1.0 до 1.9 включительно (Jenkins Script Security)

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://access.redhat.com/errata/RHSA-2019:0739

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.91443
Критический

9.9 Critical

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2019-1003029

CVSS3: 8.8
redhat
больше 6 лет назад

A sandbox bypass vulnerability exists in Jenkins Script Security Plugin 1.53 and earlier in src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/SecureGroovyScript.java that allows attackers with Overall/Read permission to execute arbitrary code on the Jenkins master JVM.

nvd логотип

CVE-2019-1003029

CVSS3: 9.9
nvd
больше 6 лет назад

A sandbox bypass vulnerability exists in Jenkins Script Security Plugin 1.53 and earlier in src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/SecureGroovyScript.java that allows attackers with Overall/Read permission to execute arbitrary code on the Jenkins master JVM.

github логотип

GHSA-xvxq-hq48-xphm

CVSS3: 9.9
github
больше 3 лет назад

Sandbox bypass in Script Security Plugin

EPSS

Процентиль: 100%
0.91443
Критический

9.9 Critical

CVSS3

6.5 Medium

CVSS2