Jenkins-CI 远程代码执行漏洞（CVE-2017-1000353）

Jenkins

Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，旨在提供一个开放易用的软件平台，使软件项目可以进行持续集成。

漏洞描述

该漏洞存在于使用HTTP协议的双向通信通道的具体实现代码中。Jenkins利用此通道来接收命令，恶意攻击者可以构造恶意攻击参数远程执行命令，从而获取系统权限，造成数据泄露。
攻击者可以将序列化的Java SignedObject对象，传输到基于远程处理的Jenkins CLI，这将最终造成反序列化，进而绕过现有基于黑名单的保护机制。Altoros Jenkins for PCF 1.0.2之前所有版本都受影响，所有用户尽快升级

漏洞影响

Jenkins

网络测绘

app="jenkins"

环境搭建

使用Vulhub，进入目录jenkins/CVE-2017-1000353，执行如下命令启动jenkins 2.46.1：

docker-compose up -d
1

等待完全启动成功后，访问http://your-ip:8080即可看到jenkins已成功运行

漏洞复现

访问首页：