CVE-2019-1003005

Опубликовано: 06 фев. 2019

Источник: nvd

CVSS3: 8.8

CVSS2: 6.5

EPSS Высокий

Описание

A sandbox bypass vulnerability exists in Jenkins Script Security Plugin 1.50 and earlier in src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/SecureGroovyScript.java that allows attackers with Overall/Read permission to provide a Groovy script to an HTTP endpoint that can result in arbitrary code execution on the Jenkins master JVM.

Ссылки

http://packetstormsecurity.com/files/166778/Jenkins-Remote-Code-Execution.html
Third Party Advisory
VDB Entry
https://access.redhat.com/errata/RHSA-2019:0739
Third Party Advisory
https://jenkins.io/security/advisory/2019-01-28/#SECURITY-1292
Vendor Advisory
http://packetstormsecurity.com/files/166778/Jenkins-Remote-Code-Execution.html
Third Party Advisory
VDB Entry
https://access.redhat.com/errata/RHSA-2019:0739
Third Party Advisory
https://jenkins.io/security/advisory/2019-01-28/#SECURITY-1292
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:jenkins:script_security:*:*:*:*:*:jenkins:*:*

Версия до 1.50 (включая)

EPSS

Процентиль: 99%

0.74186

Высокий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

CVE-2019-1003005

CVSS3: 8.8

redhat

около 7 лет назад

GHSA-x5jm-rj37-5qh7

CVSS3: 8.8

github

больше 3 лет назад

Sandbox Bypass in Script Security Plugin

BDU:2019-02068

CVSS3: 8.8

fstec

около 7 лет назад

Уязвимость компонента SecureGroovyScript.java плагина Jenkins Script Security, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.74186

Высокий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

NVD-CWE-Other