漏洞信息(CVE-2015-8103)

一、漏洞 CVE-2015-8103 基础信息

漏洞信息

                                        # N/A

## 概述
Jenkins CLI子系统存在远程代码执行漏洞，攻击者可通过精心构造的序列化Java对象进行攻击。

## 影响版本
- Jenkins 版本早于 1.638
- Jenkins LTS 版本早于 1.625.2

## 细节
漏洞与`webapps/ROOT/WEB-INF/lib/commons-collections-*.jar`文件的问题有关，同时涉及到"Groovy变种在'ysoserial'中"。

## 影响
远程攻击者可以通过构造恶意的序列化Java对象执行任意代码。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Jenkins CLI subsystem in Jenkins before 1.638 and LTS before 1.625.2 allows remote attackers to execute arbitrary code via a crafted serialized Java object, related to a problematic webapps/ROOT/WEB-INF/lib/commons-collections-*.jar file and the "Groovy variant in 'ysoserial'".

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

CloudBees Jenkins CI 远程代码执行漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

CloudBees Jenkins是美国CloudBees公司的一款基于Java开发的开源的、可持续集成的自动化服务器，它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。LTS（Long-Term Support）是CloudBees Jenkins的一个长期支持版本。 CloudBees Jenkins CI 1.638之前版本和LTS 1.625.2之前版本的Jenkins CLI子系统中存在安全漏洞。远程攻击者可借助特制的序列化Java对象利用该漏洞执行任意代码。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

命令注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2015-8103 的公开POC

#	POC 描述	源链接	神龙链接
1	cve-2015-8103	https://github.com/cved-sources/cve-2015-8103	POC详情
2	None	https://github.com/r00t4dm/Jenkins-CVE-2015-8103	POC详情
3	None	https://github.com/Threekiii/Awesome-POC/blob/master/%E4%B8%AD%E9%97%B4%E4%BB%B6%E6%BC%8F%E6%B4%9E/Jenkins%20%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2015-8103.md	POC详情

三、漏洞 CVE-2015-8103 的情报信息

http://packetstormsecurity.com/files/134805/Jenkins-CLI-RMI-Java-Deserialization.html x_refsource_MISC
https://jenkins-ci.org/content/mitigating-unauthenticated-remote-code-execution-0-day-jenkins-cli x_refsource_CONFIRM
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jenkins x_refsource_MISC
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2015-11-11 x_refsource_CONFIRM
http://www.securityfocus.com/bid/77636 vdb-entry x_refsource_BID
https://www.exploit-db.com/exploits/38983/ exploit x_refsource_EXPLOIT-DB
http://rhn.redhat.com/errata/RHSA-2016-0489.html vendor-advisory x_refsource_REDHAT
https://access.redhat.com/errata/RHSA-2016:0070 vendor-advisory x_refsource_REDHAT
http://www.openwall.com/lists/oss-security/2015/11/09/5 mailing-list x_refsource_MLIST
http://www.openwall.com/lists/oss-security/2015/11/18/13 mailing-list x_refsource_MLIST
http://www.openwall.com/lists/oss-security/2015/11/18/11 mailing-list x_refsource_MLIST
http://www.openwall.com/lists/oss-security/2015/11/18/2 mailing-list x_refsource_MLIST
https://nvd.nist.gov/vuln/detail/CVE-2015-8103

一、 漏洞 CVE-2015-8103 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2015-8103 的公开POC

三、漏洞 CVE-2015-8103 的情报信息

一、漏洞 CVE-2015-8103 基础信息