一、 漏洞 CVE-2024-52550 基础信息
漏洞信息
# N/A
## 概述
Jenkins Pipeline: Groovy Plugin 的某些版本存在一个漏洞,即没有检查重建构建的主脚本(Jenkinsfile)是否已被批准。这允许具有 Item/Build 权限的攻击者重建之前构建的构建,即使这些构建的脚本不再被批准。
## 影响版本
- 3990.vd281dd77a_388 及更早版本
- 除外版本:3975.3977.v478dd9e956c3
## 细节
该漏洞在于插件没有检查用于重建的主脚本(Jenkinsfile)是否已通过批准。由于此漏洞,具有 Item/Build 权限的攻击者可以利用重建功能运行未被批准的脚本,可能导致未授权的操作。
## 影响
攻击者可以借助此漏洞利用未被批准的 Jenkinsfile 重建之前的构建,从而执行未授权的操作。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Jenkins Pipeline: Groovy Plugin 3990.vd281dd77a_388 and earlier, except 3975.3977.v478dd9e956c3 does not check whether the main (Jenkinsfile) script for a rebuilt build is approved, allowing attackers with Item/Build permission to rebuild a previous build whose (Jenkinsfile) script is no longer approved.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Jenkins plugin Pipeline:Groovy 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Jenkins和Jenkins plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins plugin是一个应用软件插件。 Jenkins plugin Pipeline:Groovy 3990.vd281dd77a_388版本之前存在安全漏洞,该漏洞源于不检查重建构建的主 (Jenkinsfile) 脚本是否已获批准。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52550 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CVE-2024-52550 | https://github.com/Anton-ai111/CVE-2024-52550 | POC详情 |
