Vulnerabilidad en el plugin de Jenkins (CVE-2019-1003029)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/03/2019
Última modificación:
20/02/2025
Descripción
Existe una vulnerabilidad de omisión de sandbox en Jenkins Script Security Plugin, en la versión 1.53 y anteriores en src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, que permite a los atacantes con permisos de "Overall/Read" ejecutar código arbitrario en el maestro JVM de Jenkins.
Impacto
Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jenkins:script_security:*:*:*:*:*:jenkins:*:* | 1.53 (incluyendo) | |
| cpe:2.3:a:redhat:openshift_container_platform:3.11:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/166778/Jenkins-Remote-Code-Execution.html
- http://www.securityfocus.com/bid/107476
- https://access.redhat.com/errata/RHSA-2019:0739
- https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1336%20%281%29
- http://packetstormsecurity.com/files/166778/Jenkins-Remote-Code-Execution.html
- http://www.securityfocus.com/bid/107476
- https://access.redhat.com/errata/RHSA-2019:0739
- https://jenkins.io/security/advisory/2019-03-06/#SECURITY-1336%20%281%29