0x00 漏洞编号

• CVE-2023-35141

0x01 危险等级

• 高危
  

0x02 漏洞概述

Jenkins是一款开源CI&CD软件，用于自动化各种任务，包括构建、测试和部署软件。Jenkins支持各种运行方式，可通过系统包、Docker或者通过一个独立的Java程序。

0x03 漏洞详情

CVE-2023-35141

漏洞类型：跨站请求伪造

影响：请求伪造

简述：在Jenkins 2.399及更早版本，LTS2.387.3及更早版本中，为了加载上下文操作的列表，会发送POST请求。如果URL的一部分包含了不充分转义的用户提供的值，受害者可能会被诱导在打开一个上下文菜单时发送一个POST请求到一个意想不到的端点。

0x04 影响版本

• Jenkins <= 2.399

• Jenkins <= LTS 2.387.3

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.jenkins.io/

原文始发于微信公众号（浅安安全）：漏洞预警 | Jenkins跨站请求伪造漏洞