Jenkins之Java反序列化漏洞分析(CVE-2016-0792)

Jenkins近日修复了一个可通过低权限用户调用API服务致使的命令执行漏洞:低权限用户通过构造一个恶意的XML文档并发送至服务端接口,使服务端解析时调用API执行外部命令。 XStream是一个流行的反序列化库,许多主流应用程序,如IRA、Confluence、Bamboo,和...