关联漏洞
标题:
Jenkins 安全漏洞
(CVE-2024-23897)
描述:Jenkins是Jenkins开源的一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。 Jenkins 2.441及之前版本、LTS 2.426.2及之前版本存在安全漏洞,该漏洞源于允许未经身份验证的攻击者读取Jenkins控制器文件系统。
描述
CVE-2024-23897是一个影响Jenkins的严重安全漏洞
介绍
# Jenkins 安全漏洞 CVE-2024-23897
CVE-2024-23897 是一个影响 Jenkins 的严重安全漏洞,主要特征如下:
## 漏洞概述
该漏洞存在于 Jenkins 的命令行界面(CLI)中,属于本地文件包含(LFI)漏洞,影响以下版本:
- Jenkins 2.441 及更早版本
- Jenkins LTS 2.426.2 及更早版本
## 漏洞详情
**严重程度:**
- CVSS 3.1 评分为 9.8,属于严重级别漏洞。
**漏洞原理:**
- 漏洞存在于 Jenkins CLI 的命令解析器中。
- 攻击者可以利用 "@" 字符后跟文件路径的方式,读取服务器上的任意文件。
- 即使是未经身份验证的攻击者,也能读取文件的前几行内容。
**影响范围:**
- 未认证用户可读取文件的部分内容。
- 具有只读权限的用户可读取完整文件内容。
- 可能导致敏感信息泄露,如密码、SSH 密钥和源代码。
## 修复建议
**升级 Jenkins 至安全版本:**
- 主分支升级至 2.442 或更高版本。
- LTS 分支升级至 2.426.3 或更高版本。
**临时解决方案:**
- 如无法立即升级,可禁用命令行界面功能。
## 参考资料
- [Jenkins 安全公告 2024-01-24](https://www.jenkins.io/security/advisory/2024-01-24/)
- [CVE-2024-23897 漏洞详情](https://nvd.nist.gov/vuln/detail/CVE-2024-23897)
- [CISA 已知漏洞目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
文件快照
[4.0K] /data/pocs/5fc195dded09775c3f85a12eff48f12fbcc74dbd
├── [ 11K] LICENSE
├── [1.8K] poc.py
└── [1.4K] README.md
0 directories, 3 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。