1、基本情况

　　Jenkins Plugins 存在多个安全漏洞，CVE编号：CVE-2019-16538，CVE-2019-16539，CVE-2019-16540。攻击者通过以上漏洞可造成任意代码执行或任意文件删除危害。

　　2、攻击原理

　　CVE-2019-16538漏洞：在Jenkins默认安装了低于1.68以下的Script Security Plugin安全插件的版本存在远程代码执行漏洞，恶意攻击者利用该漏洞可进行远程代码执行攻击，从而获取业务系统权限，直接影响到系统的安全性。

　　CVE-2019-16539、CVE-2019-16540漏洞：在Jenkins安装了Support Core Plugin插件时可导致任意文件删除漏洞，该插件非默认安装，当插件版本低于2.64，恶意攻击者可通过该漏洞删除当前系统权限的任意文件。

　　3、影响范围

　　受影响相关插件版本：

　　Script Security Plugin < 1.68

　　Support Core Plugin < 2.64

　　4、处置建议

　　1) 修复建议：

　　Script Security Plugin 升级至 1.68 版本

　　Support Core Plugin 升级至 2.64版本

　　2) 临时措施： 

　　若无需要，请不要对外开放服务；若必须，请开启访问IP白名单及身份认证限制服务的访问，以减低被攻击的风险。 

　　分发用户的权限应以最小化原则，授权用户应采用强口令。

　　5、参考链接

　　1) https://jenkins.io/security/advisories/