近日，Jenkins发布安全公告，称插件Script Security、Pipeline: Groovy和Pipeline: Declarativ 存在沙箱绕过漏洞，CVE编号分别为：CVE-2019-1003000、CVE-2019-1003001和CVE-2019-1003002。利用该漏洞，攻击者可不经身份认证实现远程代码执行。

漏洞的综合评级为“高危”

Jenkins是一款由Java编写的开源的持续集成工具，提供了软件开发的持续集成服务。

攻击者利用漏洞，可在不经身份认证的情况下，绕过沙箱保护，在 Jenkins 主服务器上实现远程执行任意代码。

影响版本

1. Pipeline: Declarative 插件 <= 1.3.4
2. Pipeline: Groovy 插件 <= 2.61 
3. Script Security 插件 <= 1.49

安全建议

1.更新插件至已修复版本：

• Pipeline: Declarative 1.3.4.1
• Pipeline: Groovy 2.61.1
• Script Security 1.50 

​2.​ 沙箱脚本中禁止 Groovy 中所有已知的不安全 AST 转换；沙箱脚本中禁止 Groovy 中所有已知的不安全 AST 转换； 

3. 使用第三方防火墙进行防护(如创宇盾）；

4. 进行专业技术业务咨询。知道创宇技术业务咨询热线如下: 

• 400-060-9587(政府，国有企业)
• 028-68360638(互联网企业)