Jenkins 是一款基于Java开发的开源的、用于持续集成和持续交付的自动化中间件。Jenkins weekly 2.132 版本及以下、Jenkins LTS 2.121.1版本及以下，在实现上存在权限提升漏洞，攻击者可利用此漏洞从Jenkins主目录下移除 config.xml 配置文件到其他目录，当Jenkins 服务再次重启时，因加载不了config.xml中配置的安全域和授权策略，退回 legacy 模式，并且赋予匿名用户管理员访问权限。当攻击者获取Jenkins权限后，可查看构建历史数据，甚至可下载工作区的代码，导致核心代码泄露；攻击者在进入管理页面后，可通过“系统管理”下的“脚本命令行”功能，执行用于管理或故障探测或诊断的任意脚本命令，对Jenkins系统服务器产生比较严重的影响和危害。<br>