CVE-2019-10475 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反射型跨站脚本 (XSS) 漏洞。 💥 **后果**：攻击者注入恶意脚本，导致受害者浏览器执行客户端代码，可能窃取会话或劫持用户操作。

🔍 **缺陷点**：`build-metrics` 插件未正确验证和转义客户端输入。 📉 **具体原因**：`label` 查询参数 (Query Parameter) 未进行安全转义，直接渲染到页面中。

📦 **组件**：CloudBees Jenkins `build-metrics` 插件。 📌 **版本**：明确提及 **1.3** 版本存在风险（通常指该版本及之前未修复版本）。

🕵️ **黑客能力**：执行任意 JavaScript 代码。 📊 **数据风险**：可窃取管理员/用户 Cookie、会话令牌，或诱导用户执行非预期操作（如点击钓鱼链接）。

🚪 **利用门槛**：中等。 🔑 **条件**：通常无需高权限，但需诱导用户点击包含恶意 `label` 参数的特制链接。若插件公开可见，门槛更低。

💻 **现成 Exp**：有。 🔗 **PoC**：GitHub 上有公开 POC (如 `vesche/CVE-2019-10475`)，且 Nuclei 模板已收录，自动化扫描工具可直接检测。

🔎 **自查方法**： 1. 检查 Jenkins 插件列表，确认是否安装 `build-metrics`。 2. 构造包含恶意 JS 的 `label` 参数 URL 进行测试。 3. 使用 Nuclei 模板 `CVE-2019-10475.yaml` 进行批量扫描。

🛡️ **官方修复**：已修复。 📅 **时间**：2019-10-23 发布安全公告 (SECURITY-1490)。 ✅ **建议**：升级 `build-metrics` 插件至修复后的最新版本。

⚠️ **临时规避**： 1. **禁用/卸载**该插件（如果非必需）。 2. 限制 Jenkins 访问权限，仅对可信内部网络开放。 3. 配置 WAF 规则，过滤包含 `<script>` 或 `javascript:` 的 `label` 参数。

🔥 **优先级**：高。 📢 **理由**：XSS 漏洞利用成本低，PoC 公开，且 Jenkins 常作为 CI/CD 核心，一旦失守可能导致整个构建环境被控。建议立即升级或隔离。