CVE-2024-43044 Jenkins 服务器存在严重 RCE 漏洞

admin 2024年8月8日13:46:08评论277 views字数 828阅读2分45秒阅读模式

CVE-2024-43044 Jenkins 服务器存在严重 RCE 漏洞

今天,流行的开源自动化服务器 Jenkins发布了一份紧急公告,详细说明了两个漏洞,其中一个漏洞的严重程度评级为严重。这两个漏洞被标识为 CVE-2024-43044 和 CVE-2024-43045,分别使 Jenkins 实例面临任意文件读取和未经授权访问的风险。

CVE-2024-43044(严重性:严重):通过代理连接读取任意文件漏洞可能导致 RCE

这两个漏洞中最严重的一个漏洞被标识为 CVE-2024-43044,它允许攻击者在 Jenkins 控制器上远程执行任意代码。此漏洞源于 Remoting 库中的一个缺陷,该库用于 Jenkins 控制器和代理之间的通信。通过利用此缺陷,攻击者可以从 Jenkins 控制器的文件系统读取任意文件,从而可能获得对敏感配置数据、凭据甚至源代码的访问权限。此漏洞的潜在影响是相当大的,因为它可能使攻击者能够完全控制 Jenkins 实例及其相关的构建过程。

CVE-2024-43045(严重性:中):缺少权限检查,允许访问其他用户的“我的观点”

第二个漏洞被指定为 CVE-2024-43045,允许未经授权访问用户的“我的视图”,即 Jenkins 中的个性化仪表板。此漏洞可能会暴露敏感信息并允许攻击者修改这些视图,从而可能破坏工作流程或造成混乱。虽然不像关键的 RCE 漏洞那么严重,但这个问题仍然对 Jenkins 用户数据的隐私和完整性构成重大风险。

受影响的版本和补救措施

Jenkins 2.470(每周)和 2.452.3(LTS)及以下版本均受这些漏洞影响。Jenkins 已发布更新版本2.471(每周)、2.452.42.462.1(LTS),以解决这些问题。强烈建议所有 Jenkins 用户立即更新其安装,以降低被利用的风险。

详细公告:

https://www.jenkins.io/security/advisory/2024-08-07/

原文始发于微信公众号(独眼情报):CVE-2024-43044 Jenkins 服务器存在严重 RCE 漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月8日13:46:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-43044 Jenkins 服务器存在严重 RCE 漏洞https://cn-sec.com/archives/3045584.html

发表评论

匿名网友 填写信息