Jenkins存在安全漏洞吗?

类别
Jenkins是一个基于Java开发的开源自动化服务器,用于持续集成和持续交付(CI/CD)。
漏洞名称 Jenkins任意文件读取漏洞(CVE-2024-23897)。
公开时间 2024年1月25日。
影响版本 Jenkins 2.441及以下版本。
漏洞原理 Jenkins使用args4j库解析命令行输入,支持通过HTTP、WebSocket等协议远程传入命令行参数,args4j中,用户可以通过@字符来加载任意文件,这导致攻击者能够读取Jenkins控制器文件系统上的任意文件。
利用条件 经过身份验证或Jenkins配置了“Allow anonymous read access”或”Anyone can do anything”。
威胁类型 信息泄露,代码执行。
利用可能性 中。
POC状态 已公开。
在野利用状态 未发现。
EXP状态 未公开。
技术细节状态 已公开。
修复建议 升级至最新版本以解决该漏洞,现Jenkins 2.442、LTS 2.426.3已禁用相关命令解析器功能。

Jenkins任意文件读取漏洞(CVE-2024-23897)是一个严重的安全漏洞,允许未经授权的攻击者读取Jenkins控制器文件系统上的任意文件,建议所有使用受影响版本的Jenkins用户尽快升级到最新版本,以避免潜在的安全风险

Jenkins存在安全漏洞吗?插图1
(图片来源网络,侵删)

本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/61433.html

(0)
上一篇 2024年9月26日 20:40
下一篇 2024年9月26日 20:50

相关推荐