检测

插件

最近更新时间

插件系列介绍

指标

风险暴露指标

Jenkins < 1.638 / 1.625.2 Java 对象反序列化 RCE

high Nessus 插件 ID 86898

语言：

简介

远程 Web 服务器受到远程代码执行漏洞的影响。

描述

远程 Web 服务器托管低于 1.638 或 1.625.2 的 Jenkins 或 Jenkins Enterprise 版本。因此，它受到 Apache Commons Collections (ACC) 库中允许反序列化未经认证的 Java 对象的缺陷的影响。未经认证的远程攻击者可利用此漏洞在目标主机上执行任意代码。

解决方案

升级到 Jenkins 版本 1.638 / 1.625.2 或更高版本。或者，请依据供应商公告禁用 CLI 端口。

另见

http://www.nessus.org/u?0316bc02

http://www.nessus.org/u?9c6d83db

https://github.com/jenkinsci-cert/SECURITY-218

https://issues.apache.org/jira/browse/COLLECTIONS-580

插件详情

严重性: High

ID: 86898

文件名: jenkins_security218.nasl

版本: 1.15

类型: remote

系列: General

发布时间: 2015/11/17

最近更新时间: 2025/5/14

配置: 启用全面检查 (optional)

支持的传感器: Nessus

Enable CGI Scanning: true

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.2

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2015-8103

漏洞信息

CPE: cpe:/a:cloudbees:jenkins

必需的 KB 项: www/Jenkins

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/11/11

漏洞发布日期: 2015/1/28

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (OpenNMS Java Object Unserialization Remote Code Execution)

参考资料信息

CVE: CVE-2015-8103

BID: 77636

CERT: 576313