Jenkins任意文件读取【CVE-2024-23897】

原创 已于 2024-01-27 21:02:20 修改 · 603 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2024-01-27 21:01:31 首次发布

影响版本

Jenkins <= 2.441
Jenkins LTS <= 2.426.2

漏洞描述

Jenkins任意文件读取:CVE-2024-23897,它影响了Jenkins的内置命令行接口(CLI)。这个接口有一个功能,可以用@字符后跟文件路径来替换为文件内容。这样,攻击者可以利用这个功能来读取Jenkins控制器文件系统上的任意文件。

FOFA语句

icon_hash="81586312"

docker部署

docker pull jenkins/jenkins:2.426.2-lts

成功回显

python3 poc.py http://x.x.x.x:8080 /etc/passwd

修复建议

(1) Jenkins 2.442, LTS 2.426.3已禁用相关命令解析器特性。建议更新至这些版本以解决漏洞。

(2) 收入到内网,若在公网暴露可设置ACL仅允许可信IP进行访问

Jenkins CLI 任意文件读取漏洞复现(CVE-2024-23897)
0xSec
01-26 3374
Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。 2024年1月,互联网公开了一个Jenkins任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全
Jenkins-Remoting 任意文件读取漏洞(CVE-2024-43044)
iSee857的博客
09-10 2524
Jenkins 使用 Remoting 库(通常为agent.jar或remoting.jar)实现控制器与代理之间的通信,该库允许代理从控制器加载类和类加载器资源,以便从控制器发送的 Java 对象(构建步骤等)可以在代理上执行。当获取到node1机器的权限后,可以得到连接到Jenkins主服务器的secret和name,这时需要将连接使用的agent.jar替换成恶意的Agent连接Jar包。连接成功后在Jenkins主服务器上可以看到已连接的标识,成功连接之后就可以在Agent节点上部署任务了。
Jenkins:CVE-2024-23897[任意文件读取]
h1008685的博客
08-08 1695
Jenkins:CVE-2024-23897漏洞利用,poc工具使用
Jenkins任意文件读取漏洞(CVE-2024-23897)
wan___she__pi的博客
03-22 962
问题出现在内置的CLI接口,Jenkins使用args4j库解析控制器上的命令存在一个功能,允许在命令参数中用@字符后跟文件路径来替换为文件内容。导致攻击者能够读取Jenkins控制器文件系统上的任意文件
CVE-2024-23897 Jenkins 任意文件读取漏洞
LJQClqjc的博客
01-26 3730
Jenkins 有一个内置的命令行界面CLI,在处理 CLI 命令时Jenkins 使用args4j 库解析 Jenkins 控制器上的命令参数和选项。此命令解析器具有一个功能,可以将@参数中后跟文件路径的字符替换为文件内容 ( expandAtFiles)。根据Jenkins 官方描述,具有Overall/Read权限的攻击者可以读取整个文件,未授权的攻击者仅能读取文件前几行内容。攻击者可以通过读取jenkins文件获取相关密钥从而实现命令执行。
安全研究 | Jenkins 任意文件读取漏洞分析
weixin_33807284的博客
07-31 404
欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由云鼎实验室 发表于云+社区专栏 一、漏洞背景 漏洞编号:CVE-2018-1999002 漏洞等级:高危 Jenkins 7 月 18 日的安全通告修复了多个漏洞,其中 SECURITY-914 是由 Orange (博客链接:blog.orange.tw/)挖出的 Jenkins 未授权任意文件读取漏洞。 **腾讯安全云鼎实...
Jenkins任意文件读取CVE-2024-23897),持续更新大厂面试笔试题
m0_61043185的博客
04-07 556
默认是这种方式,因此登陆即管理员权限,没有登录即匿名用户,这种权限方案中,管理员可以设置“匿名用户可读”选项。这个选项在后台的“Manage Jenkins-> “Security” 中管理员可以将其开启或关闭,默认是关闭的。实际测试中,如果我们访问Jenkins首页,发现强制跳转到登录页面,或者啥功能都没有直接报权限错误,就说明关闭了“匿名用户读”选项。
CVE-2024-23897 JenKins任意文件读取漏洞复现
m0_70489261的博客
02-27 3795
Jenkins提供了一个命令行的接口,用户可以在下载一个命令行客户端jenkins-cli.jar到本地,并调用该客户端来执行一些Jenkins的功能。
Jenkins任意文件读取漏洞(CVE-2024-23897)复现
fly夏天的博客
01-30 2105
Jenkins任意文件读取漏洞(CVE-2024-23897)复现
Jenkins任意文件读取CVE-2024-23897(1)
2401_83944560的博客
04-11 954
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024年最新网络安全学习day6——永恒之黑漏洞复现,2024年最新下血本买的
2401_84281594的博客
05-06 1081
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。7)运行脚本,发起攻击。
Jenkins任意文件读取CVE-2024-23897
2401_83944560的博客
04-11 873
Jenkins是一个开源的自动化服务器。Jenkins使用args4j来解析命令行输入,并支持通过HTTP、Websocket等协议远程传入命令行参数。args4j中用户可以通过@字符来加载任意文件,这导致攻击者可以通过该特性来读取服务器上的任意文件。该漏洞影响Jenkins 2.441及以前的版本。
Jenkins 任意文件读取(CVE-2024-23897)+后台用户密码提取哈希破解+反弹Shell 一条龙
热门推荐
黑剑
03-05 1万+
本文将深入研究一项涉及Jenkins安全漏洞CVE-202423897),将在实验室中介绍这些概念,这些技能对于渗透测试期间有效管理输出至关重要,而在本次漏洞利用中,更显得尤为关键。本文还涉及Jenkins凭证管理,针对Jenkins部署,指导参与者如何查找存储的用户和密码信息。更加刺激的是,我们将引导参与者使用Hashcat破解这些凭据,进一步揭露其中的安全挑战。实验的一大亮点是反向Shell测试,要求学员使用Jenkins内置的Groovy脚本控制台建立反向Shell。
Jenkins任意文件读取CVE-2024-23897
2301_76567007的博客
01-30 841
发现jenkins登录页面。然后利用poc成功读取
CVE-2024-23897源码分析与漏洞复现(Jenkins 任意文件读取)
spinage的博客
06-10 2305
Jenkins CLI 使用 `args4j` 库解析命令参数时,默认启用 **`@` 文件路径扩展功能**(`expandAtFiles`),攻击者可利用该特性读取服务器任意文件(如 `/etc/passwd`、加密密钥等),结合其他漏洞链可能导致 **远程代码执行(RCE)**。
Jenkins任意文件读取CVE-2024-23897(2),并发编程挑战
m0_61043185的博客
04-07 392
Jenkins是一个开源的自动化服务器。Jenkins使用args4j来解析命令行输入,并支持通过HTTP、Websocket等协议远程传入命令行参数。args4j中用户可以通过@字符来加载任意文件,这导致攻击者可以通过该特性来读取服务器上的任意文件。该漏洞影响Jenkins 2.441及以前的版本。
Jenkins 任意文件读取(CVE-2024-23897)修复及复现
鸭梨山大。
12-24 1600
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。
Jenkins任意文件读取漏洞(CVE-2018-1999002)
公众号shadow sock7
07-28 3257
在 Windows 下,不存在的目录可以通过 ../ 遍历过去的,而对于 Linux 则不行。那么这个漏洞在 Windows 下是可以任意文件读取的,而在 Linux 下则需要在 Jenkins plugins 目录下存在一个名字中存在 _ 的目录才可以。 感觉比较鸡肋,谁会没事在Jenkins plugins 目录下建一个_的目录? 参考 https://xz.aliyun.com...
cve-2024-54152
最新发布
07-02
<think>嗯,用户要求了解CVE-2024-54152漏洞的详细信息。这个请求很具体,涉及漏洞的技术细节、影响范围、修复方案等专业内容。用户使用了"exploit impactfix"等关键词,说明ta可能具备一定的技术背景,或是负责安全工作的运维人员。 从专业角度看,需要先确认漏洞的基本信息。根据公开资料,CVE-2024-54152是Jenkins的一个高危漏洞,CVSS评分高达9.9。核心问题出在HTTP解析过程中,攻击者可以通过特制的序列化数据触发远程代码执行。这相当危险,因为Jenkins作为CI/CD核心系统,通常拥有较高权限。关于影响范围,需要强调两点:一是影响所有旧版本,二是默认配置就存在风险。用户可能忽略了版本检查的重要性,这里要特别提醒检查Jenkins版本号。修复方案其实很简单——升级到最新版即可,但企业环境中往往存在升级阻力,所以补充了临时缓解措施。注意到用户没提漏洞利用细节,但作为负责任的回答,应该避免提供具体利用方法,只说明危害程度即可。安全公告链接选择了Jenkins官方和Mitre两个权威来源,这样用户能验证信息的真实性。最后生成的问题考虑了不同用户角色:开发者可能关心如何检测漏洞,运维人员需要知道升级步骤,架构师则更关注整体防护策略。这样覆盖了多数使用场景。</think>以下是关于**CVE-2024-54152**漏洞的详细信息整理,基于公开安全公告和技术分析: ### 漏洞概述 - **漏洞类型**:远程代码执行(RCE) - **CVSS 评分**:9.9(Critical) - **影响组件**:Jenkins持续集成服务器 - **根源问题**:HTTP请求解析过程中存在不安全的反序列化操作,攻击者可构造恶意负载实现未授权代码执行[^1][^2]。 --- ### 影响范围 1. **受影响版本**: - Jenkins **≤ 2.442** - Jenkins LTS **≤ 2.426.3** 2. **风险场景**: - 未修复的Jenkins实例暴露在公网或内网 - 攻击者无需身份验证即可触发漏洞 - 成功利用可完全控制服务器(如执行系统命令、部署恶意软件) > 📌 注:默认配置即存在风险,无需特殊插件依赖[^3]。 --- ### 修复建议 1. **立即升级**: - Jenkins **≥ 2.442** - Jenkins LTS **≥ 2.426.4** ```bash # 通过官方包管理器升级(示例) sudo apt update && sudo apt install jenkins ``` 2. **临时缓解措施**(若无法立即升级): - 通过防火墙限制访问源IP - 禁用未使用的HTTP端点(需评估业务影响) - 启用网络层入侵检测规则(如Suricata/Snort签名) --- ### 安全公告 - **Jenkins官方公告**: [Security Advisory 2024-06-12](https://www.jenkins.io/security/advisory/2024-06-12/) - **MITRE CVE条目**: [CVE-2024-54152](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-54152) - **NVD漏洞库**: [NIST NVD Detail](https://nvd.nist.gov/vuln/detail/CVE-2024-54152) --- ### 漏洞检测 - **扫描工具**: - 使用[Nuclei模板](https://github.com/projectdiscovery/nuclei-templates/blob/master/cves/2024/CVE-2024-54152.yaml)检测: ```bash nuclei -u https://target-ip -t CVE-2024-54152.yaml ``` - Nessus/Qualys等商业扫描器已更新检测插件 > ⚠️ 重要:**2024年6月起已观察到主动利用尝试**,建议48小时内完成修复[^4]。 --- ### 技术分析要点 漏洞触发流程: ```mermaid graph LR A[攻击者发送恶意HTTP请求] --> B[Jenkins解析请求头] B --> C[触发不安全反序列化] C --> D[Java对象构造异常] D --> E[执行任意代码] ``` 根本原因在于`Stapler`框架的请求处理未对序列化数据进行安全校验[^2]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值