jenkins 漏洞列表
共找到 62 个与 jenkins 相关的漏洞
📅 加载漏洞趋势中...
-
CVE-2018-1000861: Jenkins 2.138 Remote Command Execution POC
A code execution vulnerability exists in the Stapler web framework used by Jenkins 2.153 and earlier, LTS 2.138.3 and earlier in stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java that allows attackers to invoke some methods on Java objects by accessing crafted URLs that were not intended to be invoked this way. -
jenkins-default-pwd: Jenkins Default Password POC
app="Jenkins" -
jenkins-api-panel: Jenkins API Instance Detection Template POC
Try to detect the presence of a Jenkins API instance via the API default XML endpoint -
jenkins-login: Jenkins Login Detected POC
Jenkins is an open source automation server. -
jenkins-dashboard-unauth: Jenkins Dashboard 未授权访问 POC
Jenkins Dashboard 未授权访问 Fofa: app="Jenkins" -
CVE-2017-1000353: Jenkins CLI - Java Deserialization POC
Jenkins versions 2.56 and earlier as well as 2.46.1 LTS and earlier are vulnerable to an unauthenticated remote code execution. An unauthenticated remote code execution vulnerability allowed attackers to transfer a serialized Java `SignedObject` object to the Jenkins CLI, that would be deserialized using a new `ObjectInputStream`, bypassing the existing blacklist-based protection mechanism. We're fixing this issue by adding `SignedObject` to the blacklist. We're also backporting the new HTTP CLI protocol from Jenkins 2.54 to LTS 2.46.2, and deprecating the remoting-based (i.e. Java serialization) CLI protocol, disabling it by default. -
CVE-2016-9299: Jenkins CLI - HTTP Java Deserialization POC
The remoting module in Jenkins before 2.32 and LTS before 2.19.3 allows remote attackers to execute arbitrary code via a crafted serialized Java object, which triggers an LDAP query to a third-party server. -
CVE-2018-1000600: Jenkins GitHub Plugin <=1.29.1 - Server-Side Request Forgery POC
Jenkins GitHub Plugin 1.29.1 and earlier is susceptible to server-side request forgery via GitHubTokenCredentialsCreator.java, which allows attackers to leverage attacker-specified credentials IDs obtained through another method and capture the credentials stored in Jenkins. -
CVE-2018-1000861: Jenkins - Remote Command Injection POC
Jenkins 2.153 and earlier and LTS 2.138.3 and earlier are susceptible to a remote command injection via stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java that allows attackers to invoke some methods on Java objects by accessing crafted URLs that were not intended to be invoked this way. -
CVE-2019-1003000: Jenkins Script Security Plugin <=1.49 - Sandbox Bypass POC
A sandbox bypass vulnerability exists in the Jenkins Script Security Plugin (versions 1.49 and earlier) within src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java. This flaw allows attackers with permission to submit sandboxed scripts to execute arbitrary code on the Jenkins master JVM, potentially compromising the entire Jenkins environment. -
CVE-2019-10405: Jenkins <=2.196 - Cookie Exposure POC
Jenkins through 2.196, LTS 2.176.3 and earlier prints the value of the cookie on the /whoAmI/ URL despite it being marked HttpOnly, thus making it possible to steal cookie-based authentication credentials if the URL is exposed or accessed via another cross-site scripting issue. -
CVE-2019-10475: Jenkins build-metrics 1.3 - Cross-Site Scripting POC
Jenkins build-metrics 1.3 is vulnerable to a reflected cross-site scripting vulnerability that allows attackers to inject arbitrary HTML and JavaScript into the web pages the plugin provides. -
CVE-2020-2096: Jenkins Gitlab Hook <=1.4.2 - Cross-Site Scripting POC
Jenkins Gitlab Hook 1.4.2 and earlier does not escape project names in the build_now endpoint, resulting in a reflected cross-site scripting vulnerability. -
CVE-2020-2103: Jenkins <=2.218 - Information Disclosure POC
Jenkins through 2.218, LTS 2.204.1 and earlier, is susceptible to information disclosure. An attacker can access exposed session identifiers on a user detail object in the whoAmI diagnostic page and thus potentially access sensitive information, modify data, and/or execute unauthorized operations. -
CVE-2022-36883: Jenkins Git <=4.11.3 - Missing Authorization POC
Jenkins Git plugin through 4.11.3 contains a missing authorization check. An attacker can trigger builds of jobs configured to use an attacker-specified Git repository and to cause them to check out an attacker-specified commit. This can make it possible to obtain sensitive information, modify data, and/or execute unauthorized operations. -
CVE-2024-23897: Jenkins < 2.441 - Arbitrary File Read POC
Jenkins 2.441 and earlier, LTS 2.426.2 and earlier does not disable a feature of its CLI command parser that replaces an '@' character followed by a file path in an argument with the file's contents, allowing unauthenticated attackers to read arbitrary files on the Jenkins controller file system. -
Jenkins OpenId Connect Authentication Plugin 身份验证缺陷漏洞 无POC
Jenkins OpenId Connect Authentication Plugin 身份验证缺陷漏洞 -
Jenkins OpenId Connect Authentication Plugin 身份验证缺陷漏洞 无POC
Jenkins OpenId Connect Authentication Plugin 身份验证缺陷漏洞 -
Jenkins agent connections 任意文件读取漏洞 无POC
Jenkins是基于Java开发的一种持续集成工具,Jenkins Agent是Jenkins自动化架构中的组件,Jenkins 可以通过部署在服务器等上的agent执行构建和部署任务。由于 ClassLoaderProxy#fetchJar 方法未对 agent 端的请求路径进行限制,具有Agent/Connect权限的攻击者可通过 Channel#preloadJar Api读取控制端上任意文件(包括配置文件、密码等),进一步利用可能导致攻击者通过读取敏感数据接管后台,进而在目标服务器远程执行任意代码。 -
Jenkins Remote 任意文件读取漏洞 可导致远程代码执行 无POC
Jenkins Remote 任意文件读取漏洞 可导致远程代码执行 -
Jenkins /createItem 反序列化代码执行漏洞(CVE-2016-0792) 无POC
CloudBees Jenkins CI是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS是CloudBees Jenkins CI的一个长期支持版本。CloudBees Jenkins CI和LTS存在安全漏洞,允许攻击者可通过向API端点发送特制的XML文件执行任意代码。 -
Jenkins CI Server XStream不安全的反序列化漏洞 无POC
Jenkins CI Server中存在不安全的反序列化漏洞。该漏洞是由于在Groovy库中包含的XStream库存在不安全的反序列化导致的。 -
Jenkins 视图插件 Build Monitor View CVE-2024-28156 跨站脚本漏洞 无POC
Jenkins 视图插件Build Monitor View存在跨站脚本漏洞,该漏洞是由于应用对用户的请求中name的值验证不当导致的。 -
Jenkins Script Security 插件沙箱绕过漏洞 无POC
Jenkins Script Security 插件沙箱绕过漏洞 -
Jenkins Rundeck插件存储型跨站脚本漏洞 无POC
Jenkins Rundeck插件中存在存储型跨站脚本漏洞。此漏洞是由于Rundeck webhook submissions中对用户输入的URL验证不足造成的 -
Jenkins Plot 插件存储型跨站脚本漏洞 无POC
Jenkins Plot插件中存在存储型跨站脚本漏洞。此漏洞是由于对输入的plot descriptions验证不正确导致的。 -
Jenkins Active Choices Plugin CVE-2021-21699 存储型XSS漏洞 无POC
Jenkins Active Choices 插件中存在存储型XSS漏洞。此漏洞是由于响应式参数和动态引用参数的参数名称验证不足导致的。 -
Jenkins CI Server build-metrics 跨站脚本漏洞 无POC
Jenkins CI的build-metrics插件中存在一个跨站脚本漏洞,该漏洞是由于用于渲染build-metrics插件的输出的模板禁用HTML转义导致的。 -
Jenkins CLI CVE-2024-23897 任意文件读取漏洞 2 无POC
Jenkins CLI中存在任意文件读取漏洞,此漏洞是由于应用程序未充分验证用户输入的数据所导致的。 -
Jenkins CLI CVE-2024-23897 任意文件读取漏洞 1 无POC
Jenkins CLI中存在任意文件读取漏洞,此漏洞是由于应用程序未充分验证用户输入的数据所导致的。 -
Jenkins Credentials Plugin 存储型跨站脚本漏洞 无POC
Jenkins Credentials插件中存在存储型跨站脚本漏洞。该漏洞是由于对用户输入的name和description参数的验证不足导致的。 -
Jenkins Matrix Project Plugin 存储型跨站脚本漏洞 无POC
Jenkins Matrix Project 插件中存在一个存储型跨站点脚本漏洞。 -
Jenkins Badge Plugin 存储型跨站脚本漏洞 无POC
Jenkins Badge 插件中存在存储型跨站点脚本漏洞。此漏洞是由于应用程序对参数的验证不足,以及在创建 badge 时缺少对允许协议的检查导致的。 -
Jenkins Git Plugin 4.11.3未授权访问漏洞 无POC
-
Jenkins JUnit 插件 CVE-2022-34176 XSS 漏洞 无POC
-
Jenkins Pipeline Build Step插件Job Name存储型跨站脚本漏洞 无POC
-
Jenkins Sidebar Link Plugin 目录遍历漏洞 无POC
-
Jenkins File Parameter Plugin StashedFileParameterValue 任意文件写入漏洞 无POC
-
Jenkins任意文件读取漏洞(CVE-2024-23897) POC
Jenkins是Jenkins开源的一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。 Jenkins2.441及之前版本、LTS 2.426.2及之前版本存在安全漏洞,该漏洞源于允许未经身份验证的攻击者读取Jenkins控制器文件系统。 -
Jenkins /cli?remoting=false 存在任意文件读取漏洞 无POC
Jenkins是Jenkins开源的一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。 Jenkins 2.441及之前版本、LTS 2.426.2及之前版本存在安全漏洞,该漏洞源于允许未经身份验证的攻击者读取Jenkins控制器文件系统。 -
Jenkins args4j 文件读取漏洞(CVE-2024-23897) 无POC
CloudBees Jenkins(前称Hudson Labs)是美国 CloudBees 公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 -
Jenkins CLI 任意文件读取漏洞 无POC
Jenkins是基于Java开发的一种持续集成工具。2024年1月25日,Jenkins 官方披露 CVE-2024-23897 Jenkins CLI 任意文件读取漏洞。Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,攻击者可利用相关特性读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合其他功能等可能导致任意代码执行。官方已发布安全更新修复该漏洞。Jenkins 官方评级严重。请 Jenkins 客户尽快升级。 -
Qualys Jenkins Plugin 代码问题漏洞 无POC
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Qualys Jenkins Plugin 1.0.5及之前版本存在代码问题漏洞,该漏洞源于缺少权限检查,允许任何具有登录访问权限的用户注入有效载荷导致外部实体注入(XXE)。 -
Jenkins Plugin Qualys 跨站脚本漏洞 无POC
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Jenkins Plugin Qualys 1.0.5及之前版本存在安全漏洞,该漏洞源于缺少权限检查,允许任何具有登录访问权限的用户注入有效载荷导致外部实体注入(XXE)。 -
Jenkins Plugin Qualys 代码问题漏洞 无POC
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Jenkins Plugin Qualys 2.0.11及之前版本存在安全漏洞,该漏洞源于缺少权限检查,允许任何具有登录访问权限的用户注入有效载荷导致外部实体注入(XXE)。 -
Jenkins Plugin CloudBees CD 后置链接漏洞 无POC
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Jenkins Plugin CloudBees CD 1.1.32版本及之前版本存在安全漏洞。攻击者利用该漏洞能够配置作业以删除 Jenkins 上的任意文件。 -
Jenkins Plugin CloudBees CD 后置链接漏洞 无POC
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Jenkins Plugin CloudBees CD 1.1.32版本及之前版本存在安全漏洞。攻击者利用该漏洞能够配置作业以从 Jenkins 发布任意文件。 -
Jenkins Plugin GitHub 跨站脚本漏洞 无POC
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Jenkins Plugin GitHub 1.37.3版本及之前版本存在安全漏洞,该漏洞源于在显示更改时不会转义构建页面上的 GitHub 项目 URL。攻击者利用该漏洞执行跨站脚本攻击。 -
Jenkins Kubernetes Continuous Deploy Plugin 权限许可和访问控制问题漏洞 无POC
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Jenkins Kubernetes Continuous Deploy Plugin 存在权限许可和访问控制问题漏洞,该漏洞源于 Kubernetes Continuous Deploy Plugin 缺失权限检查或存在错误权限检查。该漏洞允许具有 Overall/Read 权限的攻击者使用通过另一种方法获得的攻击者指定的凭据 ID 连接到攻击者指定的 SSH 服务器,获取存储在 Jenkins 中的凭据。该漏洞影响以下组件:Kubernetes Continuous Deploy Plugin 2.3.1 及之前版本。 -
Jenkins Kubernetes Continuous Deploy 插件跨站请求伪造漏洞 无POC
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Jenkins Kubernetes Continuous Deploy 插件2.3.1及其之前版本存在跨站请求伪造漏洞,该漏洞源于插件缺少对于跨站请求伪造token的验证。攻击者使用特殊的凭据利用该漏洞连接到指定的SSH服务器,捕获存储在Jenkins中的凭据。 -
Jenkins Kubernetes Continuous Deploy Plugin 路径遍历漏洞 无POC
Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。 Jenkins Kubernetes Continuous Deploy Plugin 存在路径遍历漏洞,该漏洞源于 Kubernetes Continuous Deploy Plugin 允许具有 Credentials/Create 或 Credentials/Update 权限的用户读取 Jenkins 控制器上的任意文件。该漏洞影响以下组件:Kubernetes Continuous Deploy Plugin 2.3.1 及之前版本。 -
Jenkins-CI 远程代码执行漏洞(CVE-2017-1000353) 无POC
Jenkins的反序列化漏洞,攻击者使用该漏洞可以在被攻击服务器执行任意代码,漏洞利用不需要任何的权限 漏洞影响范围:所有Jenkins主版本均受到影响(包括<=2.56版本) 所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) -
Jenkins 远程命令执行漏洞(CVE-2018-1000861) 无POC
CloudBees Jenkins(前称HudsonLabs)是美国CloudBees公司的一套基于Java开发的持续集成工具,它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS(Long-TermSupport)是CloudBees Jenkins的一个长期支持版本。</br>CloudBees Jenkins 2.153及之前版本和LTS2.138.3及之前版本中的stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java文件的StaplerWeb框架存在代码执行漏洞。攻击者可借助特制的URLs利用该漏洞执行代码。 -
jenkins后台-未授权访问可获得Shell 无POC
【漏洞对象】jenkins 【漏洞描述】jenkins未授权访问可导致访问后台可getshell,泄漏了用户信息并可在服务器上执行任意命令,写入后门,从而入侵服务器,获取服务器的管理员权限,危害巨大。 -
Jenkins 未授权Script页面-系统命令执行漏洞 无POC
【漏洞对象】Jenkins 【漏洞描述】 Jenkins系统的Script页面存在未授权导致的系统命令执行漏洞。 -
jenkins任意文件读取漏洞(CVE-2018-1999002) 无POC
【漏洞对象】Jenkins 【涉及版本】Jenkins weekly 2.132及此前所有版本 Jenkins LTS 2.121.1及此前所有版本【漏洞描述】 在Jenkins的StaplerWeb框架中存在任意文件读取漏洞。恶意攻击者可以通过发送精心构造的HTTP请求在未经授权的情况下获取Jenkin主进程可以访问的Jenkins文件系统中的任意文件内容。 -
Jenkins持续集成环境-未授权访问 无POC
【漏洞对象】Jenkins 【漏洞描述】 Jenkins持续集成环境未授权访问,可泄露使用方大量开发人员及项目执行信息,威胁商业秘密并可为渗透攻击提供信息。 -
Jenkins持续集成环境-任意用户注册 无POC
【漏洞对象】Jenkins 【漏洞描述】Jenkins持续集成环境由于配置不当导致任意用户注册,任何人都可通过该方法非法登录到Jenkins后台进行查询修改等操作,导致内部敏感信息泄露,可威胁到整个系统。 -
Jenkins 系统-越权漏洞 无POC
Jenkins是基于Java开发的一种持续集成工具,用于监控持续重复的工作;持续的软件版本发布/测试项目。监控外部调用执行的工作。 -
Jenkins系统-默认口令 无POC
【漏洞对象】Jenkins 【漏洞描述】Jenkins是基于Java开发的一种持续集成工具,用于监控持续重复的工作;持续的软件版本发布/测试项目。监控外部调用执行的工作。通过弱口令可登录到Jenkins后台进行查询修改等操作,可威胁到整个系统。 -
Jenkins MetaClass 存在远程代码执行漏洞 无POC
Jenkins 2.153和更早版本,LTS 2.138.3和更早版本使用的Stapler Web框架中的stapler/core/src/main/java/org/kohsuke/stapler/MetaClass.java中存在一个代码执行漏洞,攻击者可以使用该方法调用某些方法通过访问并非旨在通过这种方式调用的特制URL来访问Java对象。 -
Jenkins 存在远程代码执行漏洞 无POC
Jenkins存在未经身份验证的远程代码执行漏洞,经过序列化的Java SignedObject对象传输到基于远程处理的Jenkins CLI,在使用新的ObjectInputStream对象对其进行反序列化操作即可绕过现有的基于黑名单的保护机制。攻击者可利用漏洞在受影响的应用程序的上下文中执行任意代码,或造成程序拒绝服务。