本文介绍了Jenkins CLI中的CVE-2024-23897漏洞,该漏洞允许攻击者通过expandAtFiles功能读取控制器文件系统任意文件,甚至可能导致远程代码执行。影响范围包括Jenkins <= 2.441和LTS 2.426.2。复现步骤包括下载Jenkins war包,启动服务,下载jenkins-cli.jar并执行特定命令。修复措施是升级到安全版本或禁用CLI。
免责声明 由于传播、利用本优快云所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
一、产品介绍
Jenkins是一个开源的、用java编写的持续集成和持续交付(CI/CD)工具。它被设计为一个简单的平台,用于自动化构建、测试和部署软件,以此来帮助开发团队加速软件开发过程,提高软件质量和减少人工操作。
二、漏洞描述
在Jenkins受影响版本中默认启用其CLI命令解析器的一个功能,特定的解析器功能expandAtFiles可将@参数中后跟文件路径的字符替换为文件内容,可能导致攻击者读取 Jenkins 控制器文件系统上的任意文件,或可以进一步利用该漏洞导致远程代码执行。
三、漏洞危害
导致攻击者读取 Jenkins 控制器文件系统上的任意文件,或可以进一步利用该漏洞导致远程代码执行。
四、影响范围
Jenkins <= 2.441
Jenkins <= LTS 2.426.2</
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
