一、 概要

近期Jenkins官方发布了最新的安全公告，披露了一个远程任意文件读取漏洞（漏洞编号：CVE-2018-1999002），该漏洞可能导致服务器敏感文件被攻击者获取，从而对服务器造成进一步危害。

CVE-2018-1999002：Jenkins使用的Stapler Web框架中的任意文件读取漏洞允许未经身份验证的用户发送恶意的HTTP请求，可以获取Jenkins具备权限的任何文件内容。

参考链接：

https://jenkins.io/security/advisory/2018-07-18/

二、漏洞级别

漏洞级别：【重要】

（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

漏洞影响如下版本：

Jenkins weekly 2.132及之前版本

Jenkins LTS  2.121.1及之前版本

四、安全建议

目前厂商已发布最新版本修复了上述问题，建议受影响的租户随时关注厂商的下载页面以获取对应的最新版本，官方对应Jenkins weekly 2.134和Jenkins LTS 2.121.2，下载链接如下：

https://jenkins.io/download/

注意：修复漏洞前请将资料备份，并进行充分测试。