Jenkins的又一java反序列化漏洞，攻击者使用该漏洞可以在被攻击服务器执行任意代码，漏洞利用不需要任何的权限。

有关漏洞的原理分析可以见下文：

SSD Advisory – CloudBees Jenkins Unauthenticated Code Execution

看到其它文章中介绍受影响的范围：

• 影响低于 2.56 的所有 Jenkins 主线版本
• 影响低于 2.46.1 的所有 Jenkins LTS 版本

我搭建了多个测试环境，分别是jenkins 2.3、jenkins 2.31都没有复现成功，使用jenkins 2.32.1成功复现。利用老外文章的代码，导出成payload.jar包，用来生成攻击用的payload文件。可以自定义需要执行的命令：

java -jar payload.jar jenkins_poc1.ser "/usr/bin/touch /tmp/jenkinsTestNxadmin"

然后利用老外提供的python脚本向jenkins服务器提交post请求，就可以成功在被攻击服务器/tmp目录下生成文件。也可以使用dnslog之类的来测试，如图：

修复建议：

• Jenkins 主线版本升级到 2.57
• Jenkins LTS 版本 2.46.2

参考链接：

http://www.securityfocus.com/bid/98056/info

https://cloud.chaitin.cn/vul/detail?id=54d88f5e-afb5-4912-9824-0c53791cc396