xxl-job 关于引用了groovy,引发安全漏洞问题

gpnt7bae  于 4个月前  发布在  其他
关注(0)|答案(1)|浏览(237)

xxl-job源码里面引用了groovy,匹配的版本是4.0.16,但是在安全扫描引发报警,请问怎么解决呢?

漏洞描述:A sandbox bypass vulnerability involving various casts performed implicitly by the Groovy language runtime in Jenkins Pipeline: Groovy Plugin 2802.v5ea_628154b_c2 and earlier allows attackers with permission to define and run sandboxed scripts, including Pipelines, to bypass the sandbox protection and execute arbitrary code in the context of the Jenkins controller JVM.

漏洞名称: CVE-2022-43402

yeotifhr

yeotifhr1#

你提到的漏洞描述的是 Jenkins Pipeline: Groovy Plugin 中的沙盒绕过漏洞,这个漏洞允许具有定义和运行沙盒脚本权限的攻击者绕过沙盒保护,并在 Jenkins 控制器 JVM 上执行任意代码。
这跟org.apache.groovy的groovy.jar 有啥关系吗 ?

相关问题