CVE-2026-42521 CVSS 6.5 中危

CVE-2026-42521 Jenkins插件任意对象实例化漏洞

披露日期: 2026-04-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42521

漏洞类型

任意对象实例化

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Jenkins Matrix Authorization Strategy Plugin

漏洞概述

Jenkins Matrix Authorization Strategy Plugin 在 2.0-beta-1 至 3.2.9 版本中存在安全漏洞。该插件在反序列化继承策略时，会调用配置中指定类的无参构造函数，且未对可实例化的类进行限制。拥有 Item/Configure 权限的攻击者可以利用此漏洞实例化任意类型，可能导致信息泄露或其他安全影响。

技术细节

该漏洞的核心在于 Jenkins Matrix Authorization Strategy Plugin 对继承策略配置的反序列化处理机制缺乏安全校验。在受影响版本中，插件解析配置时会直接实例化用户指定的类，而未检查该类是否允许被调用。攻击者若具备 Item/Configure 权限，可修改配置并指定类路径下的任意类进行实例化。由于 Java 运行环境类路径中包含大量类，攻击者可利用某些类在实例化时的副作用（如读取系统属性、文件操作等）来获取敏感信息或破坏数据完整性。尽管攻击者无法直接调用方法，但通过精心选择目标类，仍能造成实质性危害。

攻击链分析

STEP 1

信息收集

攻击者识别目标 Jenkins 服务器，并确认其安装了受影响版本的 Matrix Authorization Strategy Plugin。

STEP 2

获取权限

攻击者通过合法或非法手段获取 Jenkins 的 Item/Configure 权限账户。

STEP 3

构造恶意配置

攻击者在配置界面或通过 API 修改继承策略设置，指定一个恶意的类名（利用类路径中可利用的类）。

STEP 4

触发漏洞

保存配置，触发插件反序列化过程，导致服务器实例化攻击者指定的类对象。

STEP 5

执行攻击

利用对象实例化过程中的副作用（如信息泄露）达成攻击目的。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual PoC demonstrating the configuration modification
// This is not a direct exploit script but shows the vulnerable mechanism.

// Attacker modifies the configuration XML (e.g., config.xml) to include:
// <inheritanceStrategy class="java.io.File"/>
// or a class available on the classpath that performs a sensitive action in its constructor.

// Example Groovy script to simulate the vulnerable instantiation:
try {
    // The vulnerable code effectively does this:
    def clazz = Class.forName("java.io.File"); // Arbitrary class
    def instance = clazz.getConstructor().newInstance("/etc/passwd"); // If constructor requires args, it might fail, but parameterless constructors are the target.
    
    // Real exploitation relies on finding a parameterless constructor that does something dangerous.
    // e.g., a logging class that dumps context, or a utility class that initializes system properties.
    println("Instance created: " + instance.getClass().getName());
} catch (Exception e) {
    e.printStackTrace();
}

影响范围

Jenkins Matrix Authorization Strategy Plugin 2.0-beta-1 至 3.2.9

防御指南

临时缓解措施

建议立即将受影响的插件升级到修复后的版本。如果暂时无法升级，应实施严格的权限控制策略，确保只有高度可信的管理员拥有 Item/Configure 权限，并监控配置变更日志以发现异常行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表