一 漏洞概述

2020年7月2日， Jenkins官方发布安全公告，修复了插件中的19个漏洞，其中1个高危，2个低危，16个中危级别，一共15个插件受影响。
其中高危漏洞CVE-2020-2211影响ElasticBox Jenkins Kubernetes CI / CD插件1.3及更早版本，会导致远程代码执行(RCE)。
Jenkins是一款基于Java开发的开源项目，用于持续集成和持续交付的自动化中间件，是开发过程中常用的产品，有5万多Jenkins服务开放在公网。

二 影响版本

对于编号为CVE-2020-2217的漏洞，影响范围为：

Compatibility Action Storage Plugin < = 1.0

对于编号为CVE-2020-2211的漏洞，影响范围为：

ElasticBox Jenkins Kubernetes CI/CD Plugin < = 1.3

对于编号为CVE-2020-2202的漏洞，影响范围为：

Fortify on Demand Plugin < = 6.0.0

对于编号为CVE-2020-2212的漏洞，影响范围为：

GitHub Coverage Reporter Plugin < = 1.8

对于编号为CVE-2020-2218的漏洞，影响范围为：

HP ALM Quality Center Plugin < = 1.6

对于编号为CVE-2020-2219的漏洞，影响范围为：

Link Column Plugin < = 1.0

对于编号为CVE-2020-2208的漏洞，影响范围为：

Slack Upload Plugin < = 1.7

对于编号为CVE-2020-2201的漏洞，影响范围为：

Sonargraph Integration Plugin < = 3.0.0

对于编号为CVE-2020-2210的漏洞，影响范围为：

Stash Branch Parameter Plugin < = 0.3.0

对于编号为CVE-2020-2209的漏洞，影响范围为：

TestComplete support Plugin < = 2.4.1

对于编号为CVE-2020-2205/06的漏洞，影响范围为：

VncRecorder Plugin < = 1.25

对于编号为CVE-2020-2207的漏洞，影响范围为：

VncViewer Plugin < = 1.7

对于编号为CVE-2020-2213的漏洞，影响范围为：

White Source Plugin < = 19.1.1

对于编号为CVE-2020-2214的漏洞，影响范围为：

ZAP Pipeline Plugin < = 1.9

对于编号为CVE-2020-2215的漏洞，影响范围为：

Zephyr for JIRA Test Management Plugin < = 1.5

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Jenkins” 进行搜索，共得到 1,706,288 条 IP 历史记录，主要分布在美国等国家。

五 修复建议

建议相关用户尽快升级受影响的插件至安全版本进行防护，操作步骤如下：
点击“Manage Jenkins”->“Manage Plugins”，进入插件管理界面。选择需要升级的插件，点击“Download now and install after restart”进行更新操作。

六 时间线

官方发布漏洞修复通告时间：2020年7月2日

知道创宇发布漏洞情报时间：2020年7月3日

七 相关链接

Jenkins：https://www.jenkins.io/security/advisory/2020-07-02/

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22Jenkins%22