Jenkins 多個漏洞

發佈日期: 2025年10月03日

風險: 極高度風險

類型: 伺服器 - 互聯網應用伺服器

於 Jenkins 發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發遠端執行程式碼、阻斷服務狀況、仿冒及權限提升。

 

注意：

CVE-2017-1000353 正在被廣泛利用。這是一個無需經過驗證的遠端程式碼執行漏洞，允許攻擊者將序列化的 Java SignedObject 物件傳送至 Jenkins CLI，該物件會使用新的 ObjectInputStream 進行反序列化，從而繞過現有的基於黑名單的防護機制。因此，風險等級被評為極高度風險。

---

影響

• 遠端執行程式碼
• 阻斷服務
• 仿冒
• 權限提升

---

受影響之系統或技術

• Jenkins 2.56 及以前的版本
• Jenkins LTS 2.46.1 及以前的版本

---

解決方案

在安裝軟體之前，請先瀏覽供應商之網站，以獲得更多詳細資料。

安裝供應商提供的修補程式：

 

• https://www.jenkins.io/security/advisory/2017-04-26/

---

漏洞識別碼

• CVE-2017-1000353
• CVE-2017-1000354
• CVE-2017-1000355
• CVE-2017-1000356

---

資料來源

• Jenkins
• CISA

---

相關連結

• https://www.jenkins.io/security/advisory/2017-04-26/
• https://www.cisa.gov/news-events/alerts/2025/10/02/cisa-adds-five-known-exploited-vulnerabilities-catalog