xxl-job 关于引用了groovy，引发安全漏洞问题

gpnt7bae 于 2个月前发布在其他

关注(0)|答案(1)|浏览(110)

xxl-job源码里面引用了groovy，匹配的版本是4.0.16，但是在安全扫描引发报警，请问怎么解决呢？

漏洞描述：A sandbox bypass vulnerability involving various casts performed implicitly by the Groovy language runtime in Jenkins Pipeline: Groovy Plugin 2802.v5ea_628154b_c2 and earlier allows attackers with permission to define and run sandboxed scripts, including Pipelines, to bypass the sandbox protection and execute arbitrary code in the context of the Jenkins controller JVM.

漏洞名称： CVE-2022-43402

来源：https://github.com/xuxueli/xxl-job/issues/3365

1条答案

按热度按时间

你提到的漏洞描述的是 Jenkins Pipeline: Groovy Plugin 中的沙盒绕过漏洞，这个漏洞允许具有定义和运行沙盒脚本权限的攻击者绕过沙盒保护，并在 Jenkins 控制器 JVM 上执行任意代码。
这跟org.apache.groovy的groovy.jar 有啥关系吗？

赞(0）回复(0）举报 2个月前

相关问题

热门标签

Java query python Node 开发语言 request Util 数据库 Table 后端算法 Logger Message Element Parser

最新问答

xxl-job 安全组扫描到执行器端口服务存在信息泄露漏洞
回答(1) 发布于 2个月前
xxl-job 不能和nacos兼容？
回答(3) 发布于 2个月前
xxl-job 任务执行完后无法结束，日志一直转圈
回答(3) 发布于 2个月前
xxl-job-admin页面上查看调度日志样式问题
回答(1) 发布于 2个月前
xxl-job 参数512字符限制能否去掉
回答(1) 发布于 2个月前