应用安全 - 工具|框架 - Java - Jenkins - 漏洞 - 汇总

未授权访问
/script
/manage/asynchPeople//config.xml
CVE-2015-8103
Date
2015.11

类型反序列化导致远程命令执行

影响范围Jenkins jenkins 〈= LTS 1.625.1Jenkins jenkins 〈= 1.637
CVE-2016-0792
Date
2016

类型

影响范围
CVE-2016-9299
Date
2016

类型

影响范围
cve-2017-1000353
Date
2017

类型远程命令执行

影响范围所有Jenkins主版本均受到影响(包括<=2.56版本)所有Jenkins LTS 均受到影响( 包括<=2.46.1版本)

前置条件
 

CVE-2018-1000600

Date
2018

类型CSRF and missing permission checks in GitHub Plugin

影响范围

CVE-2018-1999046

Date
2018

类型
Unauthorized users could access agent logs

影响范围

CVE-2019-1003000 

Date
2019

类型Sandbox Bypass in Script Security and Pipeline Plugins
影响范围

CVE-2019-1003001 

Date
2019

类型
Sandbox Bypass in Script Security and Pipeline Plugins

影响范围

CVE-2019-1003002

Date

类型
Sandbox Bypass in Script Security and Pipeline Plugins

影响范围
CVE-2018-1000861
Date
2018

类型任意命令执行

影响范围
CVE-2018-1999002
Date
2018

类型任意文件读取

影响范围Jenkins weekly up to and including 2.132Jenkins LTS up to and including 2.121.1
复现Windows(需登录前台后开启一定权限)

Linux

 
 

原文地址:https://www.cnblogs.com/AtesetEnginner/p/12085162.html

时间: 2024-10-08 23:27:59

应用安全 - 工具|框架 - Java - Jenkins - 漏洞 - 汇总的相关文章

常见Java库漏洞汇总

1.ActiveMQ 反序列化漏洞(CVE-2015-5254) ref:https://www.nanoxika.com/?p=408 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务.集群.Spring Framework等. Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类.远程攻击者可借助特制的序列化的Java Message Service(JMS

应用安全 - 编程语言 | 框架 - PHP - Djiango - 漏洞 -汇总

CVE-2007-0404 Date August 16, 2006 类型Filename validation issue in translation framework. Full description 影响范围 CVE-2007-0405 Date January 21, 2007 类型 Apparent “caching” of authenticated user. Full description Issues under Django’s security process¶Al

应用安全 - 数据库 | 工具 - mongo数据库 - mongo-express - 漏洞 - 汇总

CVE-2019-10758 Date 2020 类型 远程代码执行 影响范围  <0.54.0 前置条件 (1)MACOS 复现 原文地址:https://www.cnblogs.com/AtesetEnginner/p/12150403.html

应用安全 - 框架 - PHPCMS - Wordpress - 漏洞 - 汇总

xmlrpc.php Date 类型 DOS 影响范围 原文地址:https://www.cnblogs.com/AtesetEnginner/p/12167928.html

Java反序列化漏洞分析

相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 http://www.tuicool.com/articles/ZvMbIne http://www.freebuf.com/vuls/86566.html http://sec.chinabyte.com/435/13618435.shtml http://www.myhack58.com/Articl

Java反序列化漏洞通用利用分析

2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic.WebSphere.JBoss.Jenkins.OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行. 然而事实上,博客作者并不是漏洞发现者.博客中提到,早在2015年的1月28号,Gabriel Lawrence (@gebl)和Chris Frohoff (@frohoff)在AppSecCali上给出了

Java常用英语汇总(面试必备)

Java常用英语汇总(面试必备) abstract (关键字)             抽象 ['.bstr.kt] access                            vt.访问,存取 ['.kses]‘(n.入口,使用权) algorithm                     n.算法 ['.lg.riem] annotation                     [java]代码注释 [.n.u'tei..n] anonymous                

几个性能测试工具/框架的比较

在这里对几个性能测试工具做出比较,包括:Jemeter,Pylot和Mul-Mechanize.不是深度用户,一天之内使用了这三个工具/框架,在这里写下一点看法. 一.略微简介: Jemeter:Java平台下老牌性能测试工具,几乎是围绕HTTP协议为核心的一款工具,功能齐全: Pylot:一款Python平台下开源的,用以测试 Web服务器性能和扩展性的工具 Mul-Mechanize:一款Python平台下开源的,用以测试 Web服务器性能和扩展性的工具 二.特点 Jemeter:1.流程简

Java编码问题汇总

转自 http://www.blogjava.net/zhangchao/archive/2011/05/26/351051.html Thanks Java编码问题汇总 工作中经常遇到java编码问题,由于缺乏研究,总是无法给出确切的答案,这个周末在网上查了一些资料,在此做些汇总. 问题一:在java中读取文件时应该采用什么编码? Java读取文件的方式总体可以分为两类:按字节读取和按字符读取.按字节读取就是采用InputStream.read()方法来读取字节,然后保存到一个byte[]数组