Jenkins安全警报:新的安全漏洞可允许代码执行攻击

admin 2023年3月12日20:08:41评论18 views字数 702阅读2分20秒阅读模式

Jenkins安全警报:新的安全漏洞可允许代码执行攻击


Jenkins开源自动化服务器中披露了两个严重的安全漏洞,利用此漏洞可在目标系统上执行任何代码。


这些漏洞被追踪为CVE-2023-27898和CVE-2023-27905,影响Jenkins服务器和更新中心,并被云安全公司Aqua统称为CorePlague。2.319.2之前所有版本的Jenkins都存在这个漏洞并可被利用。


该公司在一份报告中说:"利用这些漏洞可以让未经认证的攻击者在受害者的Jenkins服务器上执行任意代码,有可能导致Jenkins服务器完全被破坏“。


这些漏洞是Jenkins处理更新中心的插件造成的,致使攻击者上传带有恶意有效载荷的插件并触发跨站脚本(XSS)攻击。


Aqua说:"一旦受害者在他们的Jenkins服务器上打开可用插件管理器,XSS就会被触发,允许攻击者利用脚本控制台API在Jenkins服务器上运行任意代码”。


同时,这些漏洞也可能影响到托管的Jenkins服务器,甚至在服务器不能通过互联网公开访问的情况下被利用,因为公共Jenkins更新中心也可能被 "攻击者注入"。


然而,这种攻击的前提条件是,流氓插件与Jenkins服务器兼容,并显示在 "可用的插件管理器 "页面上。


在该漏洞情况被披露之后,目前Jenkins已经为更新中心和服务器发布了补丁。建议用户将他们的Jenkins服务器更新到最新的可用版本,以减少潜在风险。


参考链接:

thehackernews.com/2023/03/jenkins-security-alert-new-security.html

精彩推荐







Jenkins安全警报:新的安全漏洞可允许代码执行攻击Jenkins安全警报:新的安全漏洞可允许代码执行攻击

Jenkins安全警报:新的安全漏洞可允许代码执行攻击

Jenkins安全警报:新的安全漏洞可允许代码执行攻击

原文始发于微信公众号(FreeBuf):Jenkins安全警报:新的安全漏洞可允许代码执行攻击

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月12日20:08:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Jenkins安全警报:新的安全漏洞可允许代码执行攻击 http://cn-sec.com/archives/1599921.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: