今天,流行的开源自动化服务器 Jenkins发布了一份紧急公告,详细说明了两个漏洞,其中一个漏洞的严重程度评级为严重。这两个漏洞被标识为 CVE-2024-43044 和 CVE-2024-43045,分别使 Jenkins 实例面临任意文件读取和未经授权访问的风险。
CVE-2024-43044(严重性:严重):通过代理连接读取任意文件漏洞可能导致 RCE
这两个漏洞中最严重的一个漏洞被标识为 CVE-2024-43044,它允许攻击者在 Jenkins 控制器上远程执行任意代码。此漏洞源于 Remoting 库中的一个缺陷,该库用于 Jenkins 控制器和代理之间的通信。通过利用此缺陷,攻击者可以从 Jenkins 控制器的文件系统读取任意文件,从而可能获得对敏感配置数据、凭据甚至源代码的访问权限。此漏洞的潜在影响是相当大的,因为它可能使攻击者能够完全控制 Jenkins 实例及其相关的构建过程。
CVE-2024-43045(严重性:中):缺少权限检查,允许访问其他用户的“我的观点”
第二个漏洞被指定为 CVE-2024-43045,允许未经授权访问用户的“我的视图”,即 Jenkins 中的个性化仪表板。此漏洞可能会暴露敏感信息并允许攻击者修改这些视图,从而可能破坏工作流程或造成混乱。虽然不像关键的 RCE 漏洞那么严重,但这个问题仍然对 Jenkins 用户数据的隐私和完整性构成重大风险。
受影响的版本和补救措施
Jenkins 2.470(每周)和 2.452.3(LTS)及以下版本均受这些漏洞影响。Jenkins 已发布更新版本2.471(每周)、2.452.4和2.462.1(LTS),以解决这些问题。强烈建议所有 Jenkins 用户立即更新其安装,以降低被利用的风险。
详细公告:
https://www.jenkins.io/security/advisory/2024-08-07/
原文始发于微信公众号(独眼情报):CVE-2024-43044 Jenkins 服务器存在严重 RCE 漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论