| 类别 | |
| Jenkins是一个基于Java开发的开源自动化服务器,用于持续集成和持续交付(CI/CD)。 | |
| 漏洞名称 | Jenkins任意文件读取漏洞(CVE-2024-23897)。 |
| 公开时间 | 2024年1月25日。 |
| 影响版本 | Jenkins 2.441及以下版本。 |
| 漏洞原理 | Jenkins使用args4j库解析命令行输入,支持通过HTTP、WebSocket等协议远程传入命令行参数,args4j中,用户可以通过@字符来加载任意文件,这导致攻击者能够读取Jenkins控制器文件系统上的任意文件。 |
| 利用条件 | 经过身份验证或Jenkins配置了“Allow anonymous read access”或”Anyone can do anything”。 |
| 威胁类型 | 信息泄露,代码执行。 |
| 利用可能性 | 中。 |
| POC状态 | 已公开。 |
| 在野利用状态 | 未发现。 |
| EXP状态 | 未公开。 |
| 技术细节状态 | 已公开。 |
| 修复建议 | 升级至最新版本以解决该漏洞,现Jenkins 2.442、LTS 2.426.3已禁用相关命令解析器功能。 |
Jenkins任意文件读取漏洞(CVE-2024-23897)是一个严重的安全漏洞,允许未经授权的攻击者读取Jenkins控制器文件系统上的任意文件,建议所有使用受影响版本的Jenkins用户尽快升级到最新版本,以避免潜在的安全风险。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/61433.html
