CVE-2016-0792
CVE-2016-0792
Vexday Risk Score
62Prioridad alta
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Exploit funcional
PoC popular en GitHub (49 estrellas) — código de explotación ampliamente disponible.
CVSS —EPSS 82.7%KEV nãoPoC públicaNuclei —Metasploit simPatch referenciado
Ciclo de vida
24 feb 2016Exploit Metasploit disponible
07 abr 2016Publicada en NVD
30 jul 2017PoC pública
Velocidad de armamento
478 díashasta el primer PoC
Recomendación: Planificar corrección próxima — ya existe PoC pública.
Multiple unspecified API endpoints in Jenkins before 1.650 and LTS before 1.642.2 allow remote authenticated users to execute arbitrary code via serialized data in an XML file, related to XStream and groovy.util.Expando.
Productos afectados
n/a · n/aPoCs públicas encontradas — 6
githubgithub.com/jpiechowka/jenkins-cve-2016-0792★ 49githubgithub.com/Aviksaikat/CVE-2016-0792★ 1cve_referencewww.exploit-db.com/exploits/42394/no verificadocve_referencewww.exploit-db.com/exploits/43375/no verificadoexploitdbwww.exploit-db.com/exploits/42394no verificadoexploitdbwww.exploit-db.com/exploits/43375no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
Referencias
http://rhn.redhat.com/errata/RHSA-2016-1773.htmlhttps://access.redhat.com/errata/RHSA-2016:0711https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2016-02-24https://www.contrastsecurity.com/security-influencers/serialization-must-die-act-2-xstreamhttps://www.exploit-db.com/exploits/42394/https://www.exploit-db.com/exploits/43375/