【已复现】Jenkins 任意文件读取漏洞(CVE-2024-23897)附POC下载

Jenkins任意文件读取漏洞CVE-2024-23897详解及修复指南
最新推荐文章于 2025-10-23 14:23:00 发布
原创 最新推荐文章于 2025-10-23 14:23:00 发布 · 4.2k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jenkins #运维

本文详细介绍了Jenkins的任意文件读取漏洞(CVE-2024-23897),包括漏洞描述、成因、影响、利用条件和复现方法。提供远程检测工具和本地检测工具的链接,受影响版本以及临时缓解和升级修复方案。

Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。

2024年1月,互联网公开了一个Jenkins的任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全。

漏洞描述

 Description 

漏洞成因

  • 命令行接口文件读取: Jenkins内置的命令行接口(CLI)存在一个特性,允许在命令参数中用@字符后跟文件路径来替换为文件内容。这导致攻击者能够读取Jenkins控制器文件系统上的任意文件。

  • 权限绕过: 拥有Overall/Read权限的攻击者可以读取完整文件,而没有该权限的攻击者也可以读取部分文件内容。

漏洞影响

  • 任意文件读取:

拥有Overall/Read权限的攻击者可以读取整个文件。

(默认情况下)没有Overall/Read权限的攻击者可以读取文件的前几行。可读取的行数取决于可用的CLI命令。

  • 远程代码执行及其它影响

    攻击依赖攻击者能通过漏洞读取到二进制形式密钥以及其它前提条件,虽然攻击者可以读取包含二进制数据的文件,但是由于功能限制,某些字节无法成功读取并被占位符值替换,导致攻击者在读取部分密钥后仍然需要推算一定数量的字节(字节数根据Jenkins » System Information中file.encoding值的不同而存在差异)。虽然条件较多,但是仍存在一定利用可能性。

利用特征

使用POST请求/cli接口,且包体中含有help、who-am-i命令以及@文件名。

长亭安全研究员发现,除了官方给出的help、who-am-i两个命令外,还可以调用下面一批命令(默认匿名环境下)来进行任意文件读取:

keep-build
restart
shutdown
safe-shutdown
disable-job
enable-job
keep-buildrestartshutdownsafe-shutdowndisable-jobenable-job

上述命令是通过另一种方式加载的,相关的 main 方法位于 CLIRegisterer 类中。这个CLIRegisterer#main 方法与 CLICommand#main 方法的主要区别在于处理顺序:CLIRegisterer#main 会先对参数进行解析,然后进行权限校验,而 CLICommand#main 则是先进行权限校验,再对参数进行解析。因此,通过引发参数解析阶段的错误,可以在权限校验之前获取到文件读取的部分结果。这揭示了程序逻辑上的一个缺陷。

同时值得注意的是Jenkins CLI 支持三种访问模式,分别是 SSH、HTTP、Websocket,因此如果要依赖流量特征缓解此漏洞,可能会相对繁琐。

检测工具

 Detection 

xpoc远程检测工具

xpoc -r 419 -t http://xpoc.org

图片

工具获取方式

https://github.com/chaitin/xpoc

https://stack.chaitin.com/tool/detail/1036

牧云本地检测工具

访问百川云平台,通过「牧云·服务器漏洞管理」进行扫描:https://rivers.chaitin.cn/landing/sentinel

图片

影响版本

 Affected Version 

version <= Jenkins 2.441

version <= LTS 2.426.2

解决方案

 Solution 

临时缓解方案

  • 访问控制:加强服务器和应用的访问控制,仅允许可信IP进行访问。另外如非必要,不要将该系统开放在互联网上。

  • 临时禁用CLI访问:暂时禁用CLI访问,直到部署更新。

升级修复方案

Jenkins 2.442, LTS 2.426.3已禁用相关命令解析器特性。建议更新至这些版本以解决漏洞。

若升级后遇到问题,可以通过设置Java系统属性hudson.cli.CLICommand.allowAtSyntax为true来禁用此变更,但这种做法不建议在可由非管理员用户访问CLI的网络上使用(会重新引入漏洞)。

漏洞复现

 Reproduction 

图片

漏洞POC:

Jenkins CVE-2024-23897: Arbitrary File Read Vulnerability Leading to RCE

python CVE-2024-23897.py -l host.txt -f /etc/passwd

图片

下载地址:https://github.com/h4x0r-dz/CVE-2024-23897

CVE-2024-23897Jenkins文件读取漏洞复现分析 [POC]
薛定谔嘚喵博客
02-05 1758
Jenkins 有一个内置的命令行界面CLI,在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能,可以将@参数中后跟文件路径的字符替换为文件内容 。
Jenkins-CI 远程代码执行漏洞复现CVE-2017-1000353)
m0_68045701的博客
07-07 1497
Jenkins存在未经身份验证的远程代码执行漏洞,经过序列化的Java SignedObject对象传输到基于远程处理的Jenkins CLI,在使用新的ObjectInputStream对象对其进行反序列化操作即可绕过现有的基于黑名单的保护机制。由于Java安全模块阻止了对特定对象的反射访问(我这里的Java版本较高),所以用下面的命令使用特定的Java参数:在运行Java程序时,可以通过添加--add-opens参数来放宽模块系统的限制。# jenkins_poc.ser是生成的字节码文件名。
CVE-2024-23897 JenKins任意文件读取漏洞复现
m0_70489261的博客
02-27 3793
Jenkins提供了一个命令行的接口,用户可以在下载一个命令行客户端jenkins-cli.jar到本地,并调用该客户端来执行一些Jenkins的功能。
Jenkins远程命令执行漏洞复现:原理详解+环境搭建+渗透实践(CVE-2018-1000861 3种方法)
最新发布
mooyuan的网络安全博客
10-23 1340
本文通过vulhub靶场的Jenkins远程命令执行漏洞关卡讲解CVE-2018-1000861漏洞原理、渗透环境搭建、并通过三种方法进行渗透的全流程(包括命令执行、反弹shell)。
漏洞复现Jenkins文件读取漏洞CVE-2024-23897
2301_80127209的博客
06-18 7380
jenkins是啥?简单理解就是:一个开源的、用于方便代码管理、部署的基于web的平台,用于提高团队开发效率(生产力)。Jenkins CLI 任意文件读取漏洞 CVE-2024-23897 是怎么回事?
Jenkins 任意文件读取(CVE-2024-23897)修复及复现
鸭梨山大。
12-24 1589
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。
漏洞复现Jenkins CLI 任意文件读取漏洞CVE-2024-23897
qq_38073067的博客
01-30 2652
漏洞复现Jenkins CLI 任意文件读取漏洞CVE-2024-23897
漏洞复现Jenkins CLI 接口任意文件读取漏洞CVE-2024-23897
网络安全从业者的学习笔记
07-26 1982
Jenkins是一款基于JAVA开发的开源自动化服务器。 Jenkins使用`args4j`来解析命令行输入,并支持通过HTTP、WebSocket等协议远程传入命令行参数。在`args4j`中,用户可以通过@字符来加载任意文件,这导致攻击者可以通过该特性来读取服务器上的任意文件
CVE-2024-23897复现及IDS中snort防御规则制定
2401_82670286的博客
01-30 3144
CVE-2024-23897是一个涉及Jenkins未授权文件读取漏洞。它利用了Jenkins命令行接口(CLI)的特性,其中CLI使用args4j库解析命令行参数。args4j库具有一个特点,即当命令行参数以@字符开头时,该参数会被视为文件路径,并将该文件内容读取作为参数。利用这一特性,攻击者可以通过Jenkins CLI读取Jenkins服务器上的任意文件。这段代码的主要问题在于它处理以字符开头的命令行参数时,会尝试将其视为文件路径,并读取该文件的内容。具体来说,如果参数以。
Jenkins任意文件读取漏洞复现(CVE-2024-23897)
m0_74125616的博客
04-02 681
3、根据靶场的路径编写命令,我这里的路径是 http://39.106.48.123:45277。2、下载编译好的二进制文件,我用的时window的。4、成功获取到flag。
CVE-2024-23897 Jenkins 任意文件读取漏洞
LJQClqjc的博客
01-26 3725
Jenkins 有一个内置的命令行界面CLI,在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能,可以将@参数中后跟文件路径的字符替换为文件内容 ( expandAtFiles)。根据Jenkins 官方描述,具有Overall/Read权限的攻击者可以读取整个文件,未授权的攻击者仅能读取文件前几行内容。攻击者可以通过读取jenkins文件获取相关密钥从而实现命令执行。
Jenkins:CVE-2024-23897[任意文件读取]
h1008685的博客
08-08 1691
Jenkins:CVE-2024-23897漏洞利用,poc工具使用
漏洞复现Jenkins反序列化漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_45556536的博客
11-17 918
Jenkins反序列化漏洞利用CVE-2017-1000353基础知识漏洞原理影响版本复现思路复现CVE-2018-10008611、特征检测 基础知识   序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。   Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,ObjectInputStream类的readObject()方法用于反序列化。   形成漏洞的根源在于类ObjectInputStream在反序列
Jenkins任意文件读取漏洞(CVE-2024-23897)复现
fly夏天的博客
01-30 2093
Jenkins任意文件读取漏洞(CVE-2024-23897)复现
CVE-2024-23897源码分析与漏洞复现(Jenkins 任意文件读取)
spinage的博客
06-10 2284
Jenkins CLI 使用 `args4j` 库解析命令参数时,默认启用 **`@` 文件路径扩展功能**(`expandAtFiles`),攻击者可利用该特性读取服务器任意文件(如 `/etc/passwd`、加密密钥等),结合其他漏洞链可能导致 **远程代码执行(RCE)**。
Jenkins远程命令执行漏洞 CVE-2018-1000861 漏洞复现
ADummy的博客
03-04 782
Jenkins远程命令执行漏洞CVE-2018-1000861) by ADummy 0x00利用路线 ​ 直接url执行 0x01漏洞介绍 ​ Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。 通过这个漏洞,我们可以找到很多可供利用的利用链。其中最严重的就是绕过Groovy沙盒导致未授权用户可执行任意命令:Jenkins在沙盒中执行Groovy前会先检查脚本是
jenkins漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
03-13 1815
jenkins漏洞概述,Jenkins是一个开源软件项目,它是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。 3月9日,启明星辰VSRC监测到Jenkins官方发布安全公告,修复了Jenkins Server和Update Center中发现的2个跨站脚本漏洞CVE-2023-27898和CVE-2023-27905,统称为“CorePlague”)。未经身份验证的威胁者可利用这些漏洞在受害者的 Jenkins Server上执
Jenkins CLI 任意文件读取漏洞复现(CVE-2024-23897)
0xSec
01-26 3360
Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。 2024年1月,互联网公开了一个Jenkins任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全。
cve-2024 poc
12-29
关于CVE-2024系列漏洞的概念验证(PoC)代码,存在多个公开资源提供了不同漏洞的具体实现方式。 针对CVE-2024-38077这一特定编号下的Windows操作系统高危漏洞,有开源项目给出了Python脚本形式的攻击向量实例[^2]。该程序通过命令行参数指定目标主机地址来发起测试性质的操作请求: ```python import requests def cve_2024_38077_poc(target_ip): url = f"http://{target_ip}/vulnerable_endpoint" headers = {"User-Agent": "Mozilla/5.0"} try: response = requests.get(url, headers=headers) if response.status_code == 200 and 'specific_response' in response.text: print(f"[+] Target {target_ip} is vulnerable!") else: print("[!] Target does not appear to be vulnerable.") except Exception as e: print(f"[-] An error occurred: {e}") if __name__ == "__main__": import argparse parser = argparse.ArgumentParser(description='Test for CVE-2024-38077') parser.add_argument('--target_ip', required=True, help='The IP address of the target machine.') args = parser.parse_args() cve_2024_38077_poc(args.target_ip) ``` 值得注意的是,在实际环境中应用此类代码前应当获得合法授权并仅限于评估系统安全性之目的;严禁用于未经授权的渗透活动或恶意企图。 此外还有其他几个值得关注的安全公告也涉及到2024年的CVE编号,比如GeoServer中存在的CVE-2024-36401以及Jenkins平台上的CVE-2024-43044等问题均发布了相应的检测手段和技术细节说明[^3][^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值