Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-02073

Опубликовано: 08 мар. 2019
Источник: fstec
CVSS3: 9.9
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость компонентов AbstractDslScriptLoader.groovy (core/src/main/groovy/javaposse/jobdsl/dsl/AbstractDslScriptLoader.groovy), JobDslWhitelist.groovy (job-dsl-plugin/build.gradle, job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/JobDslWhitelist.groovy), SandboxDslScriptLoader.groovy (job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/SandboxDslScriptLoader.groovy) плагина Jenkins Job DSL связана с ошибками обработки входных данных при выполнении синтаксического анализа кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выйти из изолированной программной среды и выполнить произвольный код

Вендор

CD Foundation

Наименование ПО

Jenkins Job DSL

Версия ПО

1.71 (Jenkins Job DSL)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://access.redhat.com/errata/RHSA-2019:0739

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01809
Низкий

9.9 Critical

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2019-1003034

CVSS3: 8.8
redhat
почти 7 лет назад

A sandbox bypass vulnerability exists in Jenkins Job DSL Plugin 1.71 and earlier in job-dsl-core/src/main/groovy/javaposse/jobdsl/dsl/AbstractDslScriptLoader.groovy, job-dsl-plugin/build.gradle, job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/JobDslWhitelist.groovy, job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/SandboxDslScriptLoader.groovy that allows attackers with control over Job DSL definitions to execute arbitrary code on the Jenkins master JVM.

nvd логотип

CVE-2019-1003034

CVSS3: 9.9
nvd
почти 7 лет назад

A sandbox bypass vulnerability exists in Jenkins Job DSL Plugin 1.71 and earlier in job-dsl-core/src/main/groovy/javaposse/jobdsl/dsl/AbstractDslScriptLoader.groovy, job-dsl-plugin/build.gradle, job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/JobDslWhitelist.groovy, job-dsl-plugin/src/main/groovy/javaposse/jobdsl/plugin/SandboxDslScriptLoader.groovy that allows attackers with control over Job DSL definitions to execute arbitrary code on the Jenkins master JVM.

github логотип

GHSA-5r74-pgmq-92mm

CVSS3: 9.9
github
больше 3 лет назад

Script security sandbox bypass in Jenkins Job DSL Plugin

EPSS

Процентиль: 82%
0.01809
Низкий

9.9 Critical

CVSS3

6.5 Medium

CVSS2