漏洞复现
测试利用该方式读取/etc/passwd可行,测试发现读取新创建的临时文件需要权限。
漏洞分析
漏洞原理大概就这样,主要就是args4j存在@这个特性,根据官网描述在某些情况下可以实现RCE暂未测试。
凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字
原文始发于微信公众号(安全之道):Jenkins CLI FileRead(CVE-2024-23897)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论