|
漏洞概述 |
|||
|
漏洞名称 |
Jenkins存在任意文件读取漏洞 |
||
|
危害等级 |
严重 |
CVSS3.1评分 |
9.8 |
|
CVE编号 |
CVE-2024-23897 |
CNVD编号 |
未分配 |
|
CNNVD编号 |
未分配 |
安恒CERT编号 |
DM-202401-002896 |
|
POC情况 |
未发现 |
EXP情况 |
未发现 |
|
在野利用 |
未发现 |
研究情况 |
分析中 |
|
危害描述 |
未经身份验证的攻击者能够利用该漏洞读取Jenkins控制器文件系统上的任意文件。 |
||
该产品主要使用客户行业分布广泛,漏洞危害性相对较高,建议客户尽快做好自查及防护。
漏洞信息
漏洞描述
Jenkins 是一个开源的自动化服务器软件,用于构建、测试和部署软件项目。它提供了一种强大的方式来自动化软件开发和交付流程,以提高开发团队的效率和生产力。
应急响应等级:1级
漏洞类型:任意文件读取、远程代码执行
影响范围
影响版本:
Jenkins <=2.441
Jenkins <=LST2.426.2
安全版本:
Jenkins >2.441
Jenkins >LST2.426.2
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无需任何权限
用户交互(UI):不需要用户交互
影响范围(S):不变
机密性影响(C):高
完整性影响(l):高
可用性影响(A):高
网络空间资产测绘
根据安恒Sumap全球网络空间资产测绘近三个月数据显示,相关资产主要分布在美国、中国和德国等国家,其中国内资产31338。建议客户尽快做好资产排查。
建议客户尽快做好资产排查。
官方修复方案:
官方已发布修复方案,受影响的用户建议更新至安全版本
https://www.jenkins.io/download/
临时缓解方案:
禁用Jenkins CLI:设置Java系统属性hudson.cli.CLICommand.allowAtSyntax 为 true
参考资料
http://www.openwall.com/lists/oss-security/2024/01/24/6
https://www.jenkins.io/security/advisory/2024-01-24/#SECURITY-3314
技术支持
如有漏洞相关需求支持请联系400-6777-677获取相关能力支撑。
原文始发于微信公众号(安恒信息CERT):【风险通告】Jenkins存在任意文件读取漏洞(CVE-2024-23897)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论